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( PreFace ) 


II est toujours trop tard, quand le sinistre arrive, pour mettre en ceuvre un plan 
de continuite d'activite... Un proverbe chinois illustre ce propos : « les tuiles qui 
protegent de la pluie ont toutes ete posees par beau temps ». 

Enfin un ouvrage complet, pratique et documents sur la continuite d'activite, en 
frangais de surcrott ! 

Ayant moi-meme vecu en entreprise des situations de sinistre, je peux temoi- 
gner de la necessity d’etre prepare a de telles situations, malheureusement plus 
frequentes qu'on ne le croit. Un jour, la salle informatique de la banque dans 
laquelle je travaillais a brtule. Nous n'avions aucun plan, ni rien de prevu dans 
une telle situation, a l'exception d’une sauvegarde externalisee.... La banque 
aurait du disparaTtre. Or c'etait en 1977, et l'informatique n'avait pas ['impor- 
tance vitale qu'elle possede a present. La banque a pu redemarrer, au prix fort, 
dans les cinq jours suivants, grace a des locaux et des moyens fournis par un 
constructeur. Nous ne sommes revenus & une situation normale que six mois 
plus tard. 

Apres ce sinistre, qui avait enfin decide la direction generale a mettre en place 
des solutions de secours et un plan associe, j’ai pris conscience de la valeur qu'il 
faut attribuer a une bonne preparation et aux demarches du type de celles pre- 
sentees dans ce livre pratique. 

En outre, dans ma vie professionnelle, j'ai cotoye et conseille de nombreux res- 
ponsables d'entreprise. Tous m'ont fait part de leur souhait d’y voir enfin plus 
clair dans la demarche visant a mettre en place de maniere pragmatique le 
management de la continuite d'activite dans leur entreprise. En effet, la mise en 
place d'un plan de continuite est un projet atypique. C'est un projet transverse 
qui prend en compte globalement toutes les activites et processus de l'entre- 
prise. 

Le Club de la Continuite d’Activite reunit tous les acteurs ceuvrant dans ce 
domaine. 11 a pour missions de partager les points de vue et retours d’expe- 
rience, de parfaire la maTtrise des solutions et de perenniser la place du manage- 
ment de la continuite dans l'entreprise. Par la, il joue un role moteur aupres des 
organismes de normalisation et du legislates. 

Le Club de la Continuite d'Activite accueille avec interet tout ce qui peut contri- 
buer a developper les bonnes pratiques, comme le fait cet ouvrage. Riche d'une 
experience tres diversifiee de la production informatique, Emmanuel Besluau 
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connaTt bien tout ce que Ton peut attendre des technologies. Son approche, qui 
presente a la fois les principes d'organisation et les architectures techniques, se 
revele tres interessante et assez unique. 

Nul doute que ce livre contribuera a faire avancer la prise de conscience sur ce 
sujet important qu'est la continuite d’activite. 

Frangois TfiTE 

President du Club de la Continuite d'Activite 
www.clubpca.eu 
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(Avant-propos) 


Un grand nombre d'entreprises ne survivraient pas a une interruption de leur 
systeme d’information pendant seulement trois jours. A l’heure oil le principe de 
precaution prevaut, alors que les mesures de securite ont pour objectif de preve- 
nt contre des menaces eventuelles, des approches nouvelles, organisationnel- 
les et techniques, se sont developpees pour faire face aux consequences des 
sinistres sur l’activite de l’entreprise. 

Le management de la continuite d'activite permet ainsi de rendre 1'entreprise 
plus resiliente dans un monde de risques. Autrefois limitee a la « gestion de 
crise » ou consideree comme une sous-partie de la gestion des risques ou de la 
securite, cette approche commence a s'imposer comme une discipline a part 
entiere. 

Or, les observateurs de 1'entreprise s'accordent k considerer que la continuite 
d'activite n’a pas actuellement en France l’attention qu’elle merite de la part des 
directions generates. En effet, 1’analyse des risques reste tres limitee, l’impact 
des sinistres potentiels n’est pas suffisamment etudie et les processus les plus 
critiques de 1’entreprise ne sont que rarement identifies. En l'absence de ces 
considerations, toute atteinte a l’integrite des moyens vitaux de 1'entreprise est 
souvent cherement payee, voire insurmontable pour la plupart des entreprises, 
qui n'y sont pas preparees. 

Cedes, quelques plans de reprise de l'activite existent ici ou la et Ton peut louer 
les pionniers qui s'y consacrent. Malheureusement, il s’agit le plus souvent de 
scenarios trop simples, centres sur les moyens et auxquels fait defaut une vision 
d’ensemble de la continuite. En outre, les directions de la production informati- 
que ont tendance a mettre en place des solutions ambitieuses qui, en l'absence 
d’une perspective sur les services utilisateurs, laissent des lacunes importantes. 
Les investissements consentis en informatique peuvent ainsi apparaTtre comme 
disproportionnes si Ton considere la faiblesse de certains maillons organisa- 
tionnels. 

Confiance exageree dans la technologie, defiance desabusee pour les dispositifs 
d' organisation, le vecu de la continuite d'activite en France reste largement insa- 
tisfaisant. Une prise de conscience des apports reels du management de la con- 
tinuite d'activite s'impose : c'est l’objectif de cet ouvrage, qui aborde les aspects 
methodologiques aussi bien que la mise en oeuvre concrete en s’appuyant sur 
des exemples et situations vecues edifiantes. 
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A qui s'adresse cet ouvrage ? 

Cet ouvrage interesse tout professionnel concerne par la continuite d'activite : 
les directions generates y decouvriront comment structurer leur approche, les 
responsables du plan de continuite y trouveront un cadre de travail avec des 
recommandations, tandis que les directeurs metier y gagneront une idee plus 
claire de leurs responsabilites et de leur role en matiere de continuite. Quant 
aux specialistes techniques, ce livre leur fournit nombre dedications et de 
recommandations leur permettant de mettre en oeuvre la continuite au niveau 
technique. 

Structure de I'ouvrage 

Afin de ne negliger aucun aspect strategique, organisationnel ou technique, cet 
ouvrage se presente en quatre volets, qui guideront pas a pas les differents 
acteurs et responsables vers une gestion efficace de la continuite d’activite en 
entreprise. 

• La premiere partie est consacree a un sujet essentiel souvent neglige dans les 
etudes de continuity : le risque. Comment en prendre conscience et determi- 
ner les faiblesses de l’entreprise ? Et surtout, comment limiter, d'une part 
l'exposition au risque et d'autre part les consequences encourues ? 

• Partant d’une approche plus traditionnelle quoique renovee, la deuxieme par- 
tie decrit comment construire les equipes et attribuer les missions pour obte- 
nir un plan de reprise efficace et comment organiser les tests et exercices 
pour qu’il le reste. Des canevas precis de plannings et de campagnes de tests 
reutilisables y sont fournis. 

• En troisieme partie est propose un tour d’horizon technologique et informati- 
que qui decrit les differents mecanismes en jeu, en relativisant leur apport et 
en insistant sur les moyens montrant le meilleur retour sur investissement. 

• Enfin, apres l'analyse, l'elaboration du plan et l'etude des moyens techniques 
disponibles, la quatrieme partie traite des aspects essentiels de gouvernance 
supervisant la mise en oeuvre de la continuite, a travers la prise de conscience 
necessaire, les decisions de politique et le controle indispensable a mettre en 
place. 
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L’entreprise 
dans un monde 
de risques 


L’entreprise est exposee a des menaces qui ne deviennent un risque que lorsque 
ses processus sont vises. Pour autant, avoir une vision claire de 1’ interference 
entre les menaces et les processus critiques de l'entreprise ne va pas de soi. 
Pour avancer, toute organisation doit done mener des actions visant a prendre 
conscience de son environnement et a comprendre son propre fonctionnement. 
Ce n'est qu’a cette condition qu'elle aura en main les parametres lui permettant 
de maitriser sa continuity 

Cette demarche complexe, permettant d’agir en pleine connaissance de cause, 
est necessaire pour aborder concretement la continuity d'activite. Elle est pre- 
sentee tout au long des trois premiers chapitres : 

• Le chapitre 1 regroupe, sous la notion de « maftrise du risque », a la fois la 
demarche d' appreciation des menaces qui pesent sur l'entreprise et les tacti- 
ques permettant de les eviter ou de s’en proteger. 

• Le chapitre 2 est consacre a ce que l'on appelle « l'analyse d'impact sur les 
activites » qui, en detaillant les differentes activites de l’entreprise, cherche a 
determiner celles dont la perte est le plus dommageable a l'entreprise. 

• Le chapitre 3, partant des constats des chapitres precedents, permet de deve- 
lopper une « strategic de continuity » en selectionnant, parmi les differentes 
options, les actions a mener pour ameliorer la resilience de l'entreprise. 

Ces trois chapitres sont structures de telle maniere que le lecteur pourra sans 
peine suivre dans l'ordre la procedure proposee pour mener sa propre etude de 
continuity dans l'entreprise. Ils peuvent ainsi quasi servir de squelette a l’elabo- 
ration de la premiere partie d'un plan de continuity. 



Chapitre 1 


La maitrise du risque 


Pour assurer sa continuity l’entreprise doit savoir a quelles menaces d'interrup- 
tion de ses activites elle est exposee. L'analyse des risques lui permettra de chif- 
frer les evaluations des pertes et les probabilites d'occurrence des sinistres. 
Ainsi, connaissant mieux le champ des risques encourus, l'entreprise pourra 
etudier les options permettant d'en reduire les effets. Ce n'est qu'alors qu'elle 
sera en situation de decider quelles actions realiser pour maftriser le risque. 


Appreciation des risques 


II est tentant de se premunir globalement contre les « coups durs », sans analy- 
ser ce qui pourrait se passer reellement. Cette approche est d'ailleurs la plus 
naturellement suivie. Elle presente cependant plusieurs inconvenients : 

• L'entreprise est preparee a faire face a un evenement qui a en fait peu de 
chance de se produire, alors qu’elle a neglige des menaces qui, elles, sont 
bien plus probables. 

• L'absence de connaissance precise des menaces peut rendre les plans de 
reprise irrealistes car ne tenant pas compte de l'ensemble de la situation 
creee par le sinistre, qui a £t4 trop caricature dans les etudes. 

• Les tests realises pour les plans de reprise, par exemple, sont facilites par le 
fait que certains aspects du risque ne sont pas pris en compte. L'entreprise 
acquiert alors une confiance exageree dans ses capacites de reprise. Or, si la 
demarche de simplification suivie au cours des tests peut etre interessante, 
elle ne doit pas s’effectuer sans avoir ete volontairement decidee. 

II devient done necessaire de passer en revue un certain nombre de menaces et 
d'etudier leurs consequences possibles sur l’activite de l'entreprise. C'est la 
combinaison de ces menaces et de leurs consequences nefastes probables que 
Ton appelle un risque. 
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Identification des menaces 

Sont considerees comme des menaces toutes les situations qui peuvent surve- 
nir ayant pour consequence une deterioration des moyens utilises pour mener a 
bien Pactivite de Pentreprise. 

Vocabulaire : emploi du terme « moyens » 

Dans cet ouvrage, le terme « moyens » est employe dans un sens tres generique. II recou- 
vre aussi bien les moyens techniques (machines, pieces, etc.) que les services (eau, gaz, 
electricite) ou les locaux (batiments de bureaux ou industriels). Le terme peut aussi 
inclure les ressources humaines, meme si ces dernieres possedent une valeur incompara- 
ble aux autres. 

L'analyse des menaces est un sujet complexe qui ne se prete pas k une modeli- 
sation aisee. Toute modelisation suppose en effet une simplification qui peut se 
reveler prejudiciable a l'exhaustivite de la demarche. 11 faut done garder a 
l'esprit, en cas de simplification, qu'une approche complementaire plus appro- 
fondie est souhaitable. Par consequent, il est recommande de mener au moins 
deux approches differentes. 

En outre, une approche trop formelle et inutilement theorique peut elle aussi se 
reveler inefficace. Mieux vaut ne pas perdre Pobjectif de vue : il s’agit de savoir a 
quoi l'on s'expose et comment on y fera face. Il est done primordial de rester 
pragmatique. 

Il peut arriver qu'une entreprise ne souhaite pas aborder certains risques dans le 
champ d’une etude. Quelles qu'en soient les raisons (politiques, souci de confi- 
dentiality, etc.), il est souhaitable de le mentionner lors du cadrage de P etude 
du risque (voir le document page 30). 

Caracteristiques des menaces 

Toute menace comporte trois caracteristiques principales qui meritent l’atten- 
tion : 

1 Elle a des consequences considerees comme nuisibles a Pactivite. Ces 

consequences peuvent etre de gravite variable. Un incendie, par exemple, 
peut endommager Pensemble d’un site informatique ou, au contraire, etre 
circonscrit aux poubelles de la cantine. On voit bien id que le meme evene- 
ment menagant « incendie » peut avoir differentes consequences. 

2. Elle possede une probability d’occurrence. Cette probability est conside- 
ree comme suffisamment forte pour que l'on ait a s’en soucier. Quantifier les 
probability d'occurrence est un art difficile dans bien des cas, mais il est au 
moins possible de determiner ce qui est plus probable par rapport a ce qui 
Pest moins, en raisonnant uniquement par valeur relative. 

3. Elle a une origine, soit humaine, soit technique, soit naturelle. Cette carac- 
teristique est importante, car elle influencera les moyens mis en oeuvre en 
prevention. Il est egalement possible de limiter l'analyse du risque k une 
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seule de ces origines (par exemple : technique et informatique). Il s'agit alors 
d’une decision de cadrage a porter au dossier (voir le document page 30). 

En premiere analyse, il est done possible d’etablir une liste des menaces et de 
leurs consequences. Le tableau suivant en donne un exemple. 


Tableau 1-1 : Exemples de menaces en premiere analyse 


Menaces 

Consequences 

Crue du fleuve 

Site inonde 

Panne electrique 

Serveurs non alimentes 

Tempete de neige 

Personnel absent 


I Rappel : risque 

La combinaison d'une menace et d'une consequence est appelee un risque. 

Diversite des risques 

Pour un evenement dont les consequences peuvent etre tres diverses, on pourra 
etre amene a proceder a un decoupage. En effet, les consequences pouvant etre 
plus ou moins graves en realite, cela permet une meilleure analyse. En outre, 
cela peut permettre de mieux cerner les probability d'occurrence des risques 
ainsi mis en evidence. 

Exemple 1 : inondation 

Considerons la menace « crue du fleuve », sur un site informatique proche d'un 
fleuve. 

Il se trouve, dans ce cas particulier, que trois types d'inondations sont suscepti- 
bles de se produire, avec des consequences tres variables sur le site lui-meme. 

1. Une inondation ayant lieu tous les dix ans en moyenne, qui empeche la cir- 
culation sur 1'acces principal au site : il faut alors arriver par un acces secon- 
daire, qui ne permet pas les livraisons par poids lourds. 

2. Une inondation survenant tous les trente ans qui, en plus des consequences 
citees dans le paragraphe precedent, rend impraticable le rez-de-chaussee 
du batiment, oil l’eau monte a vingt centimetres : la limite de vingt centime- 
tres est choisie volontairement, car au-dela, le site ne peut plus etre mis sous 
protection. 

3. Des inondations plus graves (mais aussi plus rares), oil 1’eau monte au-dela 
des vingt centimetres : parmi celles-ci, une inondation dite centenaire est 
gravee dans les memoires (et sur les murs), bien qu’on ne 1'ait plus observee 
depuis 1906 ; elle envahirait tout le rez-de-chaussee, jusqu’a deux metres de 
haut. 
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Cet exemple montre bien que les situations decrites ont differentes probability 
d'occurrence et des consequences de gravite variable. Ces consequences etant 
differentes, les reactions face a elles le sont aussi. 

1 . Dans le premier cas, les livraisons par poids lourds sont interrompues : cela 
peut representer une gene pour certains elements et Ton pourra etre amene 
a revoir certains stocks en consequence. 

2. Lorsqu'il y a moins de vingt centimetres d’eau, on doit alors proceder a diver- 
ses interventions d'isolement. La perturbation sur le site est plus impor- 
tante. 

3. Au-dela de vingt centimetres d'eau, le site est globalement sinistre. Meme si 
Ton peut faire des distinctions entre des crues d'importance variables, pour 
ce site, seule la limite des vingt centimetres compte en termes pratiques. Il 
ne sert a rien d'etudier des crues a cinquante centimetres, un metre, etc. 

La menace « inondation » peut alors etre decoupee en trois pour etre conside- 
red comme trois risques differents, chacun etant la combinaison de probability 
et de consequences differentes. On ne traitera done pas l'inondation comme un 
seul evenement, dote de consequences moyennes et d’une probability d'occur- 
rence moyenne unique. 

Notons aussi qu'on a, dans cet exemple, pris en compte la realite des choses, et 
qu'un autre site situe legerement plus haut, ou ne disposant que d’un seul 
acces, face a la meme menace ne presenterait pas les memes risques. Devalua- 
tion du risque doit done tenir compte du contexte. 

Pour synthetiser, la menace « inondation » devient alors : 


Tableau 1-2 : Menace « inondation » analysee 


Menaces 

Consequences 

Inondation de type 1 

Site epargne, mais acces poids lourds impossible 

Inondation de type 2 

20 cm d'eau au rez-de-chaussee 

Inondation de type 3 

> 20 cm d'eau, degats inacceptables 


Un evenement qui peut se produire de maniere graduee (hauteur de la crue du 
fleuve, par exemple), avec des frequences relativement connues, se prete plutot 
bien a ce genre de decoupage. Celui-ci permet, par ailleurs, une riposte adaptee 
a chaque type de risque, d’ou son interet. 

Exemple 2 : panne d’electricite 

Un exemple similaire est fourni par la « panne de courant » qui, la encore, peut 
avoir des consequences variables, en particulier en fonction de sa duree. 

1 . Panne de moins de cinq minutes : les serveurs critiques du systeme informa- 
tique sont pris en charge par les onduleurs sans interruption. 
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2. Panne de plus de cinq minutes et de moins d'une heure : les onduleurs ont 
ete relayes par un generateur Diesel qui a ete demarre a cette occasion. 

3. Panne de plus d'une heure : le generateur arrive en fin d'autonomie (plus de 
fioul) et les serveurs critiques doivent etre arretes de fagon correcte. 

Sur ce site et avec les materiels employes, on a alors le schema suivant : 


Tableau 1-3 : Menace « panne d'electricite » analysee 


Menaces Consequences 

Panne electrique 5 min 

Passage sur onduleur des serveurs critiques 

Panne electrique < 1 h 

Onduleur, puis passage sur generateur Diesel 

Panne electrique > 1 h 

Idem, puis arret propre des serveurs au bout de 2 h 


La limite a une heure est choisie en fonction des materiels et des diverses reser- 
ves en place (capacite des batteries, quantite de fioul, etc.). Dans un autre con- 
texte, cette limite aurait pu etre tout autre. 

La notion de catastrophe 

A l’inverse de ce qui precede, un evenement violent et rare, aux consequences 
quasi imprevisibles, ne se pretera pas a une analyse fine. On peut alors preferer 
envisager un risque global de perte totale comme hypothese de travail. Un 
exemple type en est la chute d’avion sur un site a proximite d’un aeroport. On 
utilise d’ailleurs dans ces cas la le mot « catastrophe », qui indique bien que la 
situation n'est pas du meme ordre de grandeur. 

Ici apparaTt bien la difficulty du raisonnement par les risques et la necessity 
d’analyser les menaces en les decoupant. En effet, un evenement tres violent et 
tres rare peut presenter le meme risque qu’un evenement a consequences 
moyennes se presentant assez souvent : sa probability est cent fois plus faible, 
mais ses consequences cent fois plus fortes. Le produit des deux est done equi- 
valent. Cela entrera en jeu dans le raisonnement lors du chiffrage du risque. 

Pourquoi decomposer ? 

Une menace globale fait done l'objet d’une decomposition en « sous- 
menaces », plus faciles k cerner ou a eliminer, et faisant l'objet de risques dis- 
tinctement perqus. 

Les criteres suivants peuvent etre retenus pour mener la demarche de decou- 
page. 

• Si la menace a des consequences multiples et aleatoires, il faut la decompo- 
ser en autant de risques que de consequences possibles. 

• Si la menace est trop vague, il convient de la decomposer en couples mena- 
ces/consequences, plus faciles a cerner. 
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• Si la menace possede des sources ou causes de natures differentes (humaine 
et naturelle, par exemple), il convient de faire la separation selon ces causes, 
car la reaction peut etre differente. 

• Si la decomposition n'apporte aucune precision ou concerne des evenements 
ayant des probabilites de valeur proches, il ne sert a rien de decomposer 
davantage. 

• Si la decomposition permet de distinguer des evenements dont on possede 
des probabilites d' occurrences, il faut alors decomposer sans hesiter. 

• Si la decomposition permet d'isoler un risque que Ton elimine volontaire- 
ment (par exemple, les risques d'origine humaine), il peut etre interessant de 
decomposer. 

• Si la decomposition permet de faire la distinction entre des situations accep- 
tables ou gerables et d’autres qui ne le sont pas, il faut le faire pour isoler ces 
situations. 

Des lors, toute modification des parametres qui ont abouti a la decomposition 
est k suivre avec attention. Le risque - ou le « paysage du risque » - s'en trouve 
modifie. Pour une meme menace, les consequences elles-memes peuvent chan- 
ger. Reprenons les deux exemples mentionnes plus haut pour illustrer ce pro- 
pos. 

1 . Inondation : des travaux realises par le departement et la commune font que 
le site n'est plus atteint par les crues qui, autrefois, auraient necessity une 
intervention (crues de vingt centimetres). 

2. Panne d’electricite : les serveurs informatiques sont toujours plus nom- 
breux et consomment plus qu’autrefois, alors que la capacite des onduleurs 
n'a pas evolue. Il faut desormais compter sur seulement trente minutes 
d'autonomie (et non plus une heure). 

Ces exemples montrent qu'une analyse de risque doit etre revue regulierement, 
entre autres pour s'assurer que les hypotheses existantes sont toujours justes, 
et pour prendre en compte de nouvelles hypotheses. 

Sources des menaces 

Dans une approche globale du risque, il est interessant d'etudier les sources des 
menaces, en les classant selon les trois domaines : technique, humain et natu- 
rel. 

• La source - ou 1’origine - technique concerne toute menace qui provient d’un 
mauvais fonctionnement d’un materiel ou d'une partie d'un materiel. On 
classe dans cette categorie les pannes de machines, l’usure de pieces ou 
materiaux provoquant des ruptures, des ecroulements, etc., mais aussi les 
bogues logiciels qui peuvent bloquer des equipements. Cette source de 
menace est en general facilement etudiee. 

• La source dite humaine est invoquee lorsque l'origine de la menace est une 
volonte ou une erreur humaine. On trouve dans cette categorie l'erreur pure 
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et simple, mais aussi la greve, le desir de nuire, le sabotage, le terrorisme. 11 
est courant que certaines situations soient exclues de l’etude ou traitees 
separement, pour des raisons de confidentiality En revanche, on insistera sur 
les aspects concernant l'erreur humaine, en concevant des systemes qui limi- 
tent les situations pouvant conduire a une erreur. 

• Enfin, la source dite naturelle concerne les desordres climatiques (intempe- 
ries, foudre, tornade, secheresse, tempete de glace, etc.), les accidents geolo- 
giques (tremblements de terre, volcans, tsunamis, affaissements), hydrauliques 
(inondations, torrents de boue, avalanches) ou autres (meteorite). Les epi- 
demies et autres pandemies, bien que liees a l'homme, sont souvent classees 
dans cette categorie car elles ne decoulent pas d'une volonte humaine. 

Ces origines peuvent se combiner ou se succeder. Par exemple, la canicule peut 
provoquer l'erreur humaine, qui pourra conduire a une defaillance materielle. 

Le tableau suivant donne un exemple de liste de menaces. 


Tableau 1-4 : Menaces classees selon leur source 


Technique 

Humaine 

Naturelle 

Panne electrique 

Greve 

Tremblement de terre 

Panne de disque dur 

Hacker 

Tempete 

Panne de controleur reseau 

Maladie 

Inondation 

Panne de climatisation 

Erreur de manipulation 

Foudre 

Chute d'avion 

Accident du travail 

Epidemie 

Fuite d'eau 

Malveillance 

Eruption volcanique 


Cette classification se revele interessante pour la suite de l'analyse. En effet, les 
options de parade etudiees plus loin seront tres differentes en fonction des 
sources potentielles de menace. 

Le 11 septembre 2001, les attentats sur les tours jumelles de New-Yorkont inau- 
gure la cause humaine pour une chute d'avion. Cet exemple tragique laisse 
apparaftre que Ton ne traite pas de la meme maniere la source technique (un 
avion est techniquement suffisamment liable) et la source humaine (empecher 
la prise en main des commandes par des terroristes). 

De plus, les catastrophes naturelles etant pour la plupart communes a une 
region geographique, les strategies de secours doivent en tenir compte (voir les 
chapitres 3 et 10) pour que l’exposition au risque ne soit pas la meme sur le site 
principal et le site de secours, par exemple. 

Enfin, en termes de documentation de l'etude et de tragabilite des choix, il est 
interessant de noter toutes les options ou hypotheses, meme si Ton decide par 
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la suite de mettre de cote certaines sources ou menaces pour quelque raison 
que ce soit. 

Menaces retenues pour analyse 

Dans chacune des trois categories, des evenements menagants peuvent etre dis- 
tingues, en tenant compte de la realite technique, humaine et du terrain. Parmi 
ces evenements, un certain nombre est retenu pour analyse, les autres laisses 
de cote comme non pertinents. 

Le tableau suivant donne un exemple. 


Tableau 1-5 : Evenements menagants retenus pour un site 


Source 

Evenement menagant 

Fuite d'eau 

Montee des eaux en salle machine 

Greve 

Entree impossible dans les bureaux 

Erreur humaine 

Pelleteuse sectionnant les cables du reseau 

Tremblementdeterre 

Batiments fragilises et partiellement en ruine 

Malveillance 

Acces a des donnees confidentielles 

Hackers 

Paralysie d'un site web 


Une telle analyse s'appuie sur les caracteristiques de l’existant et sur les evene- 
ments eventuellement constates dans l'entreprise, la region, le pays ou le sec- 
teur d'activite. 

Consequences sur les actifs de la societe 

On entre la dans le vif du sujet : analyser les consequences des evenements 
menagants sur les actifs de la societe. 

Le mot « actif » est pris au sens le plus large : il designe ici tout ce qui concourt 
a la bonne marche de l’entreprise. Une classification des actifs pouvant se reve- 
ler utile, distinguons par exemple : 

• les ressources humaines - personnel, competences particulieres, savoir- 
faire humains, titulaires de droits d’acces speciaux aux logiciels, etc. ; 

• les ressources intangibles - fichiers, bases de donnees (informatiques ou 
non), informations confidentielles ou secretes, procedures, mais aussi 
l’image de la societe sur son marche, sa bonne reputation, etc. ; 

• les biens tangibles - locaux, machines, logistique, serveurs et postes de tra- 
vail, telephonie, reseau, etc. 

Cette classification est importante, car elle permet de ne rien negliger. Une 
atteinte a l'image de la societe peut en effet s’averer financierement plus grave 
que la perte de trois serveurs informatiques suite a un incendie. . . 
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Une attention particuliere sera portee par ailleurs aux materiaux a risques 
(explosifs, produits hautement inflammables, gaz toxiques, etc.) qui, de par leur 
nature, represented un risque intrinseque. En general, ces aspects sont traites 
dans des approches de type « securite », ayant produit des documents auxquels 
il sera utile de se referer. 

Plusieurs sources existent dans l'entreprise pour recenser les biens tangibles : 

• les fichiers des etats d’amortissement, lorsqu'il y a lieu ; 

• les fichiers tenus ou detenus par les gestionnaires desdits biens (dans le ser- 
vice informatique, par exemple) ; 

• les donnees des bases de gestion des configurations CMDB (Configuration 
Management Database ) dans les services informatiques qui en gerent ; 

• les donnees gerees par les responsables d'actifs ( asset managers, en anglais) ou 
proprietaries d'actifs ( asset owners), pour les societes qui ont mis en place ces 
concepts. 

Il est cependant clair que ces listes et inventaires des actifs ne donneront helas 
pas tous le meme resultat. Quoiqu'il en soit, il faut raisonner a partir de groupes 
logiques d'elements concourant ensemble a la bonne realisation des processus 
de l'entreprise. La encore, il faut centrer l’analyse sur la realite des faits et les 
caracteristiques locales. Le tableau suivant donne un exemple. 


Tableau 1-6 : Menaces sur les actifs et consequences 


Source 

Evenement 

menapant 

Actif critique 

Consequences 

Fuite d’eau 

Monteedes eauxen 
salle machine 

Materiel 

informatique 

Arret des materiels 
informatiques 

Tempete de neige 

Routes 

impraticables 

Ressources 

humaines 

Competences 

absentes 

Erreur humaine 

Pelleteuse 
sectionnant des 
cables 

Resea u IT 

Resea u coupe 

Centre IT 

Electricite coupee 

Hackers 

Accesfrauduleuxau 

web 

Donnees 

confidentielles 

Donnees 

confidentielles 

copiees 

Image de la societe 

Image ternie sur le 
marche 


Arrive h ce stade, on possede done une liste des effets nocifs des principales 
menaces portant sur les principaux actifs de la societe. Il s'agit maintenant de 
chiffrer ces effets nocifs. Une telle valorisation se revele indispensable pour eta- 
blir des comparaisons et attribuer des priorites. 
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Chaque fois que cela est possible, on cherchera a faire des estimations quantita- 
tives de pertes, en euros. Dans les autres cas, on pourra recourir a des estima- 
tions qualitatives. 

Valorisation quantitative des pertes 

II s'agit de repondre a la question suivante : si tel evenement se produit sur les 
actifs consideres, combien perd la societe ? L’estimation est etablie pour une 
occurrence de sinistre, la perte se chiffrant en euros. Il faut faire preuve de bon 
sens et accepter d’entrer dans des raisonnements « a la louche », qui seront affi- 
nes plus tard. 

L'une des approches possibles consiste a mettre en rapport la valeur totale avec 
le taux d'exposition, comme dans l'exemple suivant. 

Exemple pour un site informatique 

Un site informatique est valorise a 48 millions d'euros, le materiel informatique qui s'y 
trouve etant evalue a 8 millions d'euros. 

- Une chute d'avion - qui, par hypothese, detruit tout - provoquera une perte de 
48 + 8 = 56 millions d'euros. 

- Une inondation du rez-de-chaussee, ou se trouve le materiel informatique, pourra etre 
estimee a 1/100 de 48 millions pour les locaux (I'immeuble ayant dix etages, et en esti- 
mant le cout des degats a 1/10 de la valeur de I'etage « rez-de-chaussee », done 1/100 
d'exposition in fine) et 8 millions pour I'informatique (car I'ensemble de I'informatique se 
trouve a cet etage), soit 8,48 millions d'euros. 

- La meme inondation, sur un site ou I’informatique est situee dans les etages, pourra 
etre evaluee a 1/100 du total, soit 0,56 millions d'euros (meme raisonnement que prece- 
demment sur I’immeuble, et en considerant que I'informatique subit tout de meme, elle 
aussi, un sinistre de 1/100). 

Une fois encore, l’exemple montre qu'il faut distinguer les sinistres en fonction 
de leurs consequences sur les actifs. 

On voit aussi qu'il faut batir un scenario de pertes coherent. Il n'est pas question 
bien stir de la perte reelle qui, elle, est inaccessible a l'analyse, mais d'une perte 
potentielle raisonnablement evaluee. Les hypotheses etablies (par exemple, la 
valeur du batiment) doivent etre les memes pour les differents scenarios stu- 
dies. Si les hypotheses de depart changent (par exemple, si le batiment vaut 
plus cher), toutes les evaluations qui en decoulent sont h revoir. 

Remarquons que nous procedons ici a une evaluation des pertes dans le cas ou 
la menace se realise, en dehors de toute consideration sur la probability de 
cette menace. 

On obtient ainsi une « valeur moyenne pour perte unique » ou SLE (Single Loss 
Expectancy). 

Valorisation qualitative des impacts 

Pour tous les cas oh il est delicat de chiffrer les pertes en euros (par exemple, 
dans le cas des pertes de vies humaines), on pourra proceder a des raisonne- 
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merits qualitatifs, consistant a evaluer le degre d'impact d’une des fagons 
suivantes : 

• qualifier 1' impact de « faible », « moyen » ou « fort », ce qui a Tinteret de don- 
ner assez rapidement une image de 1’impact - en revanche, ces evaluations 
sont plus difficiles & manipuler lorsqu'il faut faire des calculs. La multiplica- 
tion par des probabilites peut poser probleme ou amener a une gymnastique 
mentale peu courante ! 

• evaluer le degre d'impact par des chiffres (1, 2, 3, par exemple) ou sur une 
echelle allant de 1 a 10, voire de 1 a 100 : le calcul est plus aise, mais dans cer- 
taines situations, la tendance est alors de tout niveler dans une moyenne peu 
discriminante ; 

• proceder a une notation en equivalents non lineaires telle que : faible = 1 , 
moyen = 10 et fort = 100, c'est-4-dire, dans ce cas, en puissances de 10 ; elle 
presente Tinteret de bien distinguer les situations, le risque etant, a 1'inverse, 
d'etre trop caricatural. 

Exemple : perte de donnees informatiques 

Pour chiffrer une perte de donnees informatiques, on pourra par exemple realiser reva- 
luation suivante : 

- perte de donnees recuperables : impact = 1 ; 

- perte de donnees clients non recuperables par les systemes informatiques : 
impact = 10 ; 

- perte non recuperable et divulgation d'informations confidentielles : impact = 100. 

Ces deux types de valorisation peuvent tout a fait etre menes en parallele, afin 
de comparer les impacts et les pertes. On obtient ainsi une « valeur moyenne 
pour impact unique » ou SIE (Single Impact Expectancy ). 

Chiffrage des probabilites annuelles 

II s’agit de calculer ou de determiner la probability que 1'evenement considere 
se produise dans une annee (ART, pour Annualized Rate of Threat occurrence). C’est 
un exercice la plupart du temps difficile, car procedant par approximations suc- 
cessives, en commengant par des ordres de grandeurs avant d’affiner l’analyse. 
Une pratique consiste a prendre les inverses des durees moyennes constatees 
entre deux sinistres : si un evenement se produit en moyenne tous les n annees, 
on lui donnera une probability annuelle d'occurrence (ou ART) de 1/n. 11 existe 
un fondement mathematique derriere ce calcul, mais cela sort du champ de cet 
ouvrage. Pour des sinistres n’ayant jamais eu lieu, c'est plus difficile : on peut 
considerer la duree sans sinistre dans ce cas et prendre son inverse. 

Pour du materiel, la probability d'occurrence d'une panne correspond, en arron- 
dissant, a 1'inverse de la « moyenne des temps de bon fonctionnement » ou 
MTBF, exprimee en annees (voir le chapitre 7). Par exemple, pour un disque dur 
ayant une MTBF de 400 000 heures (soit 45,66 ans), on aura une ART de 2,2 %. 
Corollaire de ce calcul, si Ton dispose de cent disques de ce type au centre infor- 
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matique, on constatera en moyenne deux pannes par an (100 x 2,2 %). Ce cons- 
tat ouvre d'ailleurs une voie pour le chiffrage des ART. 

Pour d'autres evenements, on raisonne plutot par des estimations couramment 
partagees, telles que : 

• La chute d’avion a proximite d'un aeroport aura une ART de 1/30 (proximite 
voulant dire moins d'un mile...). On pourra aussi considerer qu’un site situe 
a deux fois la distance possede une ART quatre fois moindre (2 2 ). On pourra 
aussi prendre en compte le fait que Ton se situe ou non sous une voie de pas- 
sage aerien. 

• L'inondation centenaire aura une ART de 1/100. 

• La panne de courant due au prestataire fournissant l'electricite pourra etre 
chiffree avec des ART de l’ordre de 1/4 pour des pannes de cinq minutes ou 
1/7 pour une panne d'une heure, par exemple, en fonction des lieux et de ce 
que Ton a deja constate. 

L'annexe 2 fournit quelques references de sources de chiffres. La figure 1-1 
donne un exemple de suivi des crues de la Loire. 


www.vigicrues.ecologie.gouv.fr 


Blois (Loire) - Hauteurs en m (09/10/2007 12:15) 



Crues de reference - Station Blois 
... crue de decembre 2003 - 3.78 m 
-- crue dejanvier 1982 - 4.1 m 
— crue d'octobre 1 907 - 5.63 m 

Figure 1-1 : Les crues de la Loire constatees a Blois 


0 


Chapitre 1 - La maitrise du risque 


En outre, il est possible de raisonner par intervalles de temps, a savoir si l'eve- 
nement se produit une fois tous les dix ans ou une fois tous les cinquante ans. 
On en deduira les ART (c’est-a-dire les inverses : 1/10, 1/50, etc.). 

Des calculs plus fins et plus approfondis peuvent aussi etre realises a partir de 
methodes d’analyse des defaillances telles que les arbres de defaillance ou les 
chaTnes de Markov. On se reportera pour cela aux ouvrages specialises. 

Calcul du risque 

Une fois que Ton a collecte les chiffres precedents, on peut alors calculer ce qui suit : 

• la moyenne des pertes annuelles attendues, de maniere quantitative ; 

• la moyenne des impacts annuels, estimes de maniere qualitative. 

Ces chiffres sont aussi appeles « risques » ou « niveaux de risque » dans le lan- 
gage courant. 

Moyenne des pertes annuelles (ALE) 

La moyenne des pertes annualisees (ALE pour Annualized Loss Expectancy ) corres- 
pond au risque moyen annuel. Elle est calculee a partir de la valorisation quan- 
titative des pertes (SLE ou Single Loss Expectancy ), multipliee par la probability 
d'occurrence annuelle d'une menace (ART) : 

| ALE = ART x SLE 


Tableau 1-7 : Calcul de TALE pour les exemples precedents 


, Evenement 

Source menapant 

Consequences SLE 

ART 

ALE 

En m€ 

Inondation 

Eau au rez-de- 
chaussee 

Locaux (site 1 ) et 
informatique inondes 

8,48 

0,033 

0,28 

Locaux seuls inondes 
(site 2) 

0,56 

0,033 

0,02 

Aeroport 

Chute d'avion 

Locaux detruits 

56 

0,025 

1,40 

En k€ 

Alimentation 

electrique 

Coupure : 5 min 

Passage sur onduleur : 
aucune consequence 

0 

0,25 

0,00 

Coupure : 1 h 

Arret de 50 serveurs : 
2 heures 

2,86 

0,14 

0,41 

Coupure : 1 jour 

Arret general : 1,5 jours 

7 500 

0,05 

375,00 


On remarque que les evenements etudies aboutissent a des risques tres dissem- 
blables et se situant dans des ordres de grandeurs differents (de 410 euros a 
1 ,4 millions d'euros). Cela permet souvent de relativiser les approximations faites. 
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Sans aller plus loin, on peut d'ores et deja determiner les risques contre les- 
quels on souhaite agir. Les risques qui ressortent du calcul comme etant faibles 
ont d’ailleurs tres souvent deja ete l'objet d'un effort particulier pour qu’il en 
soit ainsi. 

Moyenne des impacts annuels (AIE) 

Pour les cas oh les evaluations ne se font pas en euros, la moyenne des impacts 
annualises (Annualized Impact Expectancy ou AIE) est calculbe a partir de la valori- 
sation qualitative de ces impacts (SIE ou Single Impact Expectancy), multipliee par 
la probability d’occurrence annuelle d'une menace (ART), elle-meme evaluee sur 
une echelle : 

| AIE = ART x SIE 


Tableau 1-8 : Exemples de calcul de I'AIE 


Source 

Evenement 

menapant 

Consequences 

SIE ART 

AIE 

Informatique 

Echec du a une 
montee de 
version mal faite 

Personne ne peut 
travailler 

4 

2 

8 

Panne de 
serveurs vitaux 

Les personnes des ne 
peuvent plus travailler 

3 

1 

3 

Resea u 

Routeur 

defectueux 

1/3 du personnel ne 
peut plus travailler 

2 

4 

8 


Notes de 0 (faible) a 5 (fort) 


Dans ces exemples, les impacts et les probabilites ont btb hierarchises avec une 
echelle et des estimations realisees par des responsables. Dans le cas presente, 
on leur a demande d’evaluer les consequences et les probabilites sur une plage 
de 0 (faible) a 5 (maximum). Ce type d'approche est aussi interessant, dans le 
sens oh les avis des evaluateurs pouvant diverger, cette difference en soi peut 
fournir des informations instructives. 

Lorsque Ton mene des evaluations avec des echelles, il est egalement possible 
de recourir a une grille de cotation, comme dans le tableau qui suit : 

• L'axe horizontal indique la duree moyenne (en annees) entre deux occurren- 
ces de sinistres (a partir de tous les cinquante ans, jusqu’a tous les ans : 
numerotation de 50 a 1 ). 

• L'axe vertical indique la gravite de Timpact du sinistre (graduee de I a V, par 
exemple). 
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La signification des niveaux de gris est la suivante : 

• blanc : acceptable ; 

• gris clair : acceptable sous conditions (par exemple, s'il existe une alternative 
en mode degrade) ; 

• gris fonce : inacceptable. 

Tel evenement d'impact de niveau III sera ainsi acceptable s'il se produit tous les 
quinze ans ou moins souvent. 

La zone moyenne (gris clair) signifie qu'il faut mener diverses actions dans le but 
de se retrouver dans la zone acceptable (blanc). Celles-ci viseront soit a dimi- 
nuer les consequences, soit a limiter la frequence d'apparition des menaces. 

Analyse contrastee par entites 

Dans certains cas, il est interessant de mener l'analyse decrite dans les paragra- 
phes precedents en la detaillant, lorsque cela est pertinent, par entites de 
l'entreprise. 

Considerons une entreprise ayant trois departements sensibles : 

1 . un laboratoire de recherche ; 

2. un service des ventes ; 

3. un service de gestion des stocks. 

Le service informatique est fournisseur interne de ces trois entites. Ce service 
informatique a determine six evenements menagants, en tenant compte de son 
experience, et souhaite les analyser sur les annees a venir. Il demande done a 
chaque departement d’evaluer la probability d'en etre victime et les consequen- 
ces que cela aurait pour lui. 

Les evaluations sont effectuees sur une echelle allant de 1 (faible) a 5 (fort), au 
moyen d' interviews croisees, de maniere a comparer les departements les uns 
par rapport aux autres. On obtient alors le tableau suivant. 
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Tableau 1-10 : Evaluation des risques par les entites 



Remarques sur le tableau 

- Passage en production bloque signifie qu'une nouvelle application n'a pas pu etre 
demarree correctement ; elle ne fonctionne done pas. 

- Start est le nom d'une application de gestion de stocks dans cette entreprise. 

- Fichiers a j-1 signifie que les fichiers sont de la veille et non pas du jour : cela peut cons- 
tituer un handicap. 

- Connexion au siege perdue signifie que le reseau permettant de connecter le siege 
social a I'informatique ne fonctionne pas : les gens qui travaillent au siege ne peuvent 
done acceder aux bases de donnees. 

- Les batch de nuit sont des traitements par lots de mise a jour de fichiers. 

Lorsqu'on regarde les evaluations faites dans ce tableau, on constate que : 

• Du point de vue des departements, c’est le service de gestion des stocks qui 
court le plus de risques (deux fois plus que le laboratoire), avec deux evalua- 
tions de risques de 1 2 ou plus (passage en production bloque et batch de nuit 
non termines). 
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• Du point de vue de Pinformatique, deux evenements sont plus menagants 
que les autres, tous departements confondus : les batch de nuit non termines 
et la connexion au siege perdue. 

• On ne peut discerner un seul evenement qui soit le plus menagant pour tous 
les departements. 

• Trois evenements sont toujours classes dans les deux plus menagants : le 
passage en production bloque, la connexion au siege perdue et les batch de 
nuit non finis. Le service informatique voudra par consequent faire baisser les 
trois plus gros risques correspondant d ces trois evenements et les traitera 
done en priorite. 

• Le service de gestion des stocks voudra que l'on etudie le probleme de trans- 
fert de fichiers defectueux, qui pour lui est son handicap numero trois. Si le 
service informatique ne peut rien faire pour en reduire la frequence, il peut 
reflechir a un moyen pour reduire les consequences de ce probleme (chiffrees 
a 5). 

• Pour le laboratoire, en revanche, le probleme des batch de nuit non termines 
est un souci mineur (risque 3 sur 27) alors que e’est le souci numero un des 
deux autres services. 

Il ressort done de cet exemple que l’on peut coupler analyse du risque et estima- 
tion des impacts sur les differentes activites dans l'entreprise. Cette analyse est 
importante, car pour un meme evenement, la probability qu’il touche tel ou tel 
departement de l’entreprise est variable. En outre, pour chaque entite touchee, 
l'impact ou la perte peuvent la encore etre differents. Cet exemple montre aussi 
que les points de vue peuvent diverger selon que l'on travaille a 1’informatique 
ou dans 1’un des trois services interroges. 

Autres methodes d'analyse pratiquees 

Il existe d'autres methodes pour analyser les risques. Certaines font appel a un 
attirail mathematique consequent, d'autres sont a l’inverse le resultat d’un bon 
sens pragmatique. Pour l’interet qu’elles presentent, on citera ici la methode 
dite des arbres de defaillance et la methode des cercles concentriques. 

Les arbres de defaillance 

C’est une approche de haut en bas, employee en conception de systemes tech- 
niques, qui permet une modelisation fine sur laquelle des calculs mathemati- 
ques sont realisables. On procede de la maniere suivante : 

1 . On definit un evenement indesirable donne (la panne d’un systeme informa- 
tique complet, par exemple). 

2. On decompose cet evenement en sous-evenements relies par des relations 
logiques comme et, ou (par exemple : panne du serveur ou panne du stockage). 

3. On poursuit cette decomposition jusqu’a ce qu’elle ne soit plus possible ou 
utile. 
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4. On obtient ainsi un « arbre » dont le sommet est l’evenement indesirable et 
dont les branches sont les constituants elementaires susceptibles de tomber 
en panne. 



Cette approche est tres interessante, car elle permet de : 

• comprendre le systeme analyse ; 

• mettre en evidence les principaux contributeurs aux pannes ; 

• calculer des probability de pannes ; 

• detecter les elements qui, s'ils tombent en panne, mettent tout le systeme en 
panne : les « points uniques de defaillance ». 

II est alors possible de modifier le systeme pour supprimer les points uniques de 
defaillance, par exemple, et faire en sorte qu'une panne unique ne suffise pas a 
tout arreter. Dans les systemes les plus sensibles, on elimine de meme les pan- 
nes doubles ou triples. 

Les cercles concentriques 

Cette methode represente le sommet du pragmatisme realiste. Tres pratiquee 
outre-Atlantique, elle consiste a s'asseoir a son poste de travail et regarder 
autour de soi en considerant plusieurs cercles concentriques du plus eloigne au 
plus proche. Dans chaque cercle, on identifie les risques. Void une description 
en cinq cercles. 

• Cercle 1 : ce sont les risques externes les plus eloignes, qui vont toucher tout 
le monde autour de l'entreprise (risques naturels, accidents d'avions, pannes 
d’electricite regionales, etc.). 

• Cercle 2 : c’est la zone oh se situent l'entreprise, ses locaux, ses bureaux, ses 
acces et ses connexions et alimentations en ressources diverses ; les risques 
sont lies a ces elements. 
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• Cercle 3 : cela se rapproche encore un peu et touche l'environnement infor- 
matique et bureautique de travail. Les risques portent sur les donnees, les 
applications, les messageries, etc., et concernent plusieurs departements 
partageant les memes ressources. 

• Cercle 4 : on arrive ici au niveau du departement, a tout risque pouvant 
l'empecher de remplir ses differentes missions. 

• Cercle 5 : c’est le bureau de l'individu, avec tout ce qu’il lui faut pour tra- 
vailler correctement dans son departement chaque jour (moyens, systeme 
informatique) - que se passe-t-il a ce niveau en cas de defaillance ? 

Cette methode presente le merite d'etre facile a demarrer, de partager l'etude 
entre les differents services de l'entreprise (un cercle par service) et ainsi limiter 
l’oubli de certains risques (chaque risque d'un cercle devant se traduire dans ses 
voisins). 

Dans la pratique, on pourra recourir a une combinaison de plusieurs de ces 
methodes. 


Evaluation des options Pace aux risques 


Une fois les risques un peu mieux delimites dans leurs coflt, impact et probabi- 
lity d’occurrence, il est temps d'etudier les differentes options qui se presentent 

pour y faire face. 

Les quatre options de traitement du risque 

Quatre options sont alors etudiees pour traiter le risque : 

1 . Accepter le risque : cela consiste a ne rien faire face au risque. 

2. Eviter ou supprimer le risque, en sortant des conditions de sa realisation : 
on effectue alors un changement important qui fait que le risque ne s'appli- 
que plus. 

3. Reduire le risque, en jouant sur ses deux parametres de cout/impact et de 
probabilite d'occurrence. 

4. Transferer le risque a une autre entite par la sous-traitance ou l'assurance. 
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Tableau 1-11 : Exemples d'options de traitement du risque 


Source Option 

Categorie 

Inondation 

Demenager la salle a 
1'etage 

Reduction du risque 

Demenager les locaux en 
altitude 

Suppression du risque 

Coupure d'electricite 

Acquerir des generateurs 

Reduction du risque 

Crash d’avion 

Souscrire une police 
d'assurance 

Transfertdu risque 

Repartir les bureaux sur 
plusieurs sites 

Reduction du risque 


L'etude des options doit bien evidemment tenir compte, une fois encore, de 
l'existant et de ce qu'il est possible de faire sans trop de difficultes. 

Dans la realite, les quatre categories d'options sont mises a contribution simul- 
tanement. La souscription d’une police d'assurance, par exemple, s’accompagne 
le plus souvent de mesures de reduction du risque a un niveau economique- 
ment supportable. 

Option 1 : accepter le risque 

Cette option consiste k accepter le risque tel qu'il est et a ne rien entreprendre 
de particulier face a lui. 

Deux circonstances sont susceptibles d'amener a cette decision : soit le risque 
est considere comme negligeable, soit toutes les autres options sont estimees 
comme trop onereuses. 

Vu de l'exterieur, accepter le risque peut paraitre curieux et passer pour une 
demission face aux difficultes. Formalisee comme une decision de management, 
cette option prend toute sa force : il ne s'agit pas d’insouciance, il s’agit d’un 
choix reflechi, qui doit etre explique et documents. Il faudra regulierement veri- 
fier que les motifs qui le fondent sont encore valables. 

Option 2 : eviter le risque 

Avec cette option, les circonstances d’apparition du risque sont totalement 
modifiees de maniere que le risque n'ait plus lieu d'etre. Par exemple, un site est 
demenage en hauteur par rapport au fleuve, ou loin de tout aeroport. 

Il convient alors de verifier que de nouveaux risques n’apparaissent pas ou que 
ceux-ci soient desormais acceptables. 

Option 3 : reduire le risque 

C’est l'option la plus souvent realisable, puisqu'il est en effet possible de jouer 
sur deux parametres : 
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• reduire la probability d’occurrence en faisant des travaux de terrasse- 
ment, par exemple, on peut retarder la montee des eaux sur le site. Le pro- 
bleme des inondations et des crues du fleuve reste le meme, mais la 
materialisation du risque sur le site est nettement reduite ; 

• minimiser les consequences, une fois le risque materialise : en cas de cou- 
pure de courant, on met en marche un generateur electrique et la conse- 
quence de la coupure est evitee pour les serveurs. 

Reduire le risque, c’est done modifier ce qui peut l’etre raisonnablement et 
investir sur ce qui est efficace. En jouant sur les deux parametres et en realisant 
des actions successives, il est possible d'arriver a une reduction tres efficace du 
risque. 

Option 4 : transferer le risque 

Cette option consiste a transferer le risque a un tiers qui est remunere pour cela. 
Elle se pratique sous deux formes : Pexternalisation ou la souscription d’une 
police d'assurance. 

Externalisation 

Cela revient a confier a un tiers la responsabilite des moyens techniques ou 
humains. C'est alors ce tiers « prestataire » qui devient responsable de l’analyse 
des risques sur ces moyens et du choix des options face aux menaces. 

Il est tres important, dans ce cas, de verifier les clauses du contrat de service qui 
lie desormais l'entreprise a son prestataire. Ces clauses doivent en effet men- 
tionner des engagements de continuity de service. Differentes formes existent 
selon que le contrat prevoit des obligations de moyens ou des obligations de 
resultats. 

La redaction de ces clauses est affaire delicate. Pour l'entreprise, ces clauses 
constituent d’ailleurs une nouvelle forme de risque a etudier de pres. Le presta- 
taire aura tendance a exclure les risques majeurs qu'il ne souhaite pas couvrir, 
tandis que la societe cliente devra prevoir des penalites financieres en cas de 
violation d’engagements de la part du prestataire. 

Souscription d une assurance 

Il s'agit de souscrire un contrat aupres d'une compagnie d’assurances qui, dans 
le cadre des garanties contractuelles, couvrira un certain nombre de pertes. 

La plupart du temps, toutes les entreprises ont au moins un contrat incendie ou 
perte d'exploitation. Ces contrats peuvent couvrir le cout de remplacement de 
serveurs incendies ou de refection d'un site sinistre, par exemple, ou prendre en 
charge des pertes de chiffre d'affaires. Il faut s'appuyer dessus en premier lieu. 
Cependant, il existe aussi des contrats plus specifiques aux « risques infor- 
matiques » qui sont apparus dans les annees 1990. Ceux-ci couvrent dans une 
certaine limite les frais generes par un sinistre d'origine informatique : refection 
de traitements, reconstitution de donnees, coQt d'interimaires supplementaires 
et de temps machine, voire frais de rehabilitation de l'image de l'entreprise, etc. 
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De son cote, la compagnie d'assurances verifie par une enquete que l'entreprise 
a mene des actions de prevention des risques et qu'elle possede un plan de 
reprise convenable. C'est d’ailleurs la limite du systeme : l'entreprise ne peut 
pas faire l’impasse sur son plan de continuite et se couvrir uniquement par 
l'assurance. En realite, ces contrats « risques informatiques » rencontrent un 
succes tres mitige et semblent se cantonner plutot aux PME. 

Le chiffrage cout/efficacite 

Chaque option choisie possede deux caracteristiques : 

• elle represente un certain coflt de mise en ceuvre, compose generalement 
d’une fraction ponctuelle et d’une fraction recurrente ; 

• elle permet une diminution du risque, soit en limitant 1’impact d'une menace, 
soit en reduisant sa probability d'occurrence. 

Ces coflts et ces diminutions de risque peuvent etre evalues et chiffres, afin de 
proceder a des comparaisons. 

Couts de mise en ceuvre des options 

Le tableau suivant donne un exemple d'options et de chiffrage des couts associes. 


Tableau 1-12 : Exemples de couts de differentes options 


Source 

Option de 
maTtrise 

Categorie 

Cout de I'option 

Inondation 

Demenagerlasalle 
a 1'etage 

Reduction du risque 

300 000 € 

Demenager les 
locaux en altitude 

Suppression du risque 

1 500 000 € 

Coupure 

d'electricite 

Acquerir des 
generateurs 

Reduction du risque 

100 000 € 

+ maintenance 


Souscrire une 
police d’assurance 

Transfert du risque 

1 million d'euros/an, soit 
20 millions sur 20 ans 

Crash d’avion 

Repartir les 
bureaux plus loin, 
surtrois sites 

Reduction du risque 

600 000 €, car ces sites 
existent deja 


A ce stade, certaines options peuvent etre eventuellement exclues, etant consi- 
derees comme trop onereuses. Le document de cadrage dans le dossier d'etude 
des risques (voir page 30) doit statuer sur ce point. 

Le chiffrage du coflt de mise en oeuvre d'une option sera realise avec le plus 
grand soin, car il aura un effet sur les scenarios proposes. Les elements suivants 
doivent etre pris en compte : 
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• cout des equipements a acquerir et amortissement ; 

• frais financiers associes aux acquisitions ; 

• cout de la maintenance des equipements acquis ; 

• eventuels logiciels associes ; 

• demenagements ; 

• services divers a envisager ; 

• taxes et impots ; 

• gestion et administration des biens acquis ; 

• assurances ; 

• frais de formation du personnel concerne ; 

• frais de location, etc. 

En general, chacun de ces elements genhre des coOts ponctuels et recurrents. 11 
est done interessant d'analyser les cotits en fonction du moment ou ils apparais- 
sent (immediatement ou plus tard : chaque mois, chaque annee, etc.) et de rea- 
liser ensuite un calcul d'actualisation a la date prevue de la mise en oeuvre de 
l’option. 

Chiffrer la reduction du risque 

Le chiffrage de la diminution du risque procuree par une option est delicat et 
doit se faire avec la meme logique que le chiffrage du risque, en utilisant le 
meme type d'arguments. On peut aussi chiffrer le risque residuel une fois 
l’option mise en place et ainsi en deduire la baisse. 


Tableau 1-13 : Exemples de chiffrage de reduction du risque 


Menace 

(et perte moyenne 
annuelle attendue) 

Option de 
maTtrise 

Cout de I'option 

Risque Reduction 

residuel du risque 

Inondation 
(ALE : 280 k€) 

Demenager la 
salle a I'etage 

300 000 € 

30 000 € 

250 000 € 

Demenager les 
locauxen altitude 

1 500 000 € 

0 € 

280 000 € 

Crash d'avion 
(ALE : 1,4 m€) 

Souscrire une 
police d’assurance 

1 million d'euros 
par an, soit 
20 millions sur 
20 ans 

0 € 

1,4 m€ 

Repartir les 
bureaux plus loin, 
surtrois sites 

600 000 €, car 
ces sites existent 
deja 

0,47 m€ 
(1/3 de 
1,4 m€) 

0,93 m€ 
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II devient alors possible de comparer le cout de l'option et la diminution du ris- 
que qu’elle apporte en calculant le ratio suivant, appele « cout par unite de 
reduction du risque » (CURR, pour Cost per Unit of Risk Reduction ) : 

cout de l'option 

diminution du risque due a l'option 

Un CURR de 1,20 euro peut se comprendre ainsi : pour reduire le risque moyen 
annuel de 1 euro, il faut depenser 1,20 euro. 



Tableau 1-14: Calcul du CURR a partir des exemples precedents 


Menace 

(et perte moyenne 
annuelle attendue) 

Option de 
maTtrise 

_ . i> x- Reduction 

Cout de 1 option , 

r du risque 

CURR 

Inondation 
(ALE : 280 k€) 

Demenager la 
salle a I’etage 

300 000 € 

250 000 € 

1,20 € 

Demenager les 
locaux en altitude 

1 500 000 € 

280 000 € 

5,36 € 

Crash d’avion 
(ALE: 1,4 m€) 

Souscrire une 
police d'assurance 

1 million d’euros 
par an, soit 
20 millions sur 
20 ans 

1,4 m€ 

0,7 € 
recurrent 

Repartir les 
bureaux plus loin, 
sur trois sites 

600 000 €, car 
les sites existent 
deja 

0,93 m€ 

0,65 € 


Dans l’exemple du demenagement, ce cout ne se presente qu'une seule fois, 
alors que le risque survient tous les ans. On voit la qu’il faut bien analyser la 
maniere dont les coflts se presentent et sont calcules, en prenant en compte le 
fait que ces coOts soient uniques ou recurrents. On gardera aussi en memoire 
que le risque est calcule sur un an, c'est-a-dire qu'il s'agit d'une esperance (au 
sens mathematique du terme), qui se presente tous les ans. Un classement des 
options en fonction des meilleurs ratios est alors possible. 

Si Ton ne dispose pas de chiffres quantitatifs, mais uniquement d’une evalua- 
tion qualitative graduee (par exemple : faible, moyen, fort) et d'une grille de 
cotation du niveau de risque (voir page 19), on listera alors toutes les options 
qui permettent de sortir de la zone noire. On sera alors enclin a privilegier la 
moins coflteuse. 

L'aversion au risque 

Beaucoup d’ouvrages se sont penches sur cette notion appliquee aux investis- 
seurs en Bourse. En ce qui concerne la continuite d’activite, il est interessant de 
noter les ecarts de comportement entre les differents responsables de l'entre- 
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prise. En effet, le niveau de sensibility au risque est variable, que ce soit au sujet 
des pertes ou des probabilities d’occurrence. A risque egal, on pourra constater 
les situations suivantes : 

• Certains responsables ne voient que le montant des pertes et oublient - ou 
mettent au second plan - la faible probability d'occurrence : ils auront ten- 
dance a vouloir faire face aux risques rares mais induisant de forts couts. 

• D'autres, a l'inverse, sont sensibles surtout a la probability elevee et voudront 
supprimer des risques probables, meme si leur consequence est faible. Les 
probability s faibles ne les interessent pas. 

• Enfin, la plupart sont sensibles surtout au cotit des options de traitement du 
risque, quel que soit le cotit du risque. Une option trop chere sera refusee. 



Tout ceci peut expliquer que, face a des risques similaires, plusieurs responsa- 
bles peuvent faire des choix d'options differents. 

Le dossier d'etude des risques 

L'ensemble des etudes qui precedent doit etre documente dans un dossier. 
Celui-ci a trois objectifs : 
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• decrire la reflexion et les etudes qui ont ete menees ; 

• expliquer pourquoi tel aspect a ete examine ou, au contraire, pourquoi tel 
autre point a ete mis de cote ; 

• preparer la decision du comite de continuite. 

La premiere partie de ce dossier correspond au document de cadrage men- 
tionne plus haut. 

Voici un plan type pour constituer un tel dossier. 


Dossier d'etude des risques et options 

1. Cadrage de la demarche 

1.1. Peri metre concerne 

1.2. Hypotheses pour les evaluations 

1.3. Methode devaluation 

1.4. Sources de risque 

1.5. Limites de couts et de risques acceptables 

2. Menaces et risques identifies 

2.1. Criteres de selection 

2.2. Decoupages realises 

2.3. Entites de I'entreprise les plus concernees 

2.4. Exclusions eventuelles 

2.5. Techniques d'analyse 

3. Actifs exposes aux menaces 

3.1. Categories d'actifs retenus 

3.2. Groupes effectues, logique d'approche 
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Chapitre 1 - La maitrise du risque 


La realisation de ce dossier peut etre partiellement iterative, afin d’impliquer 
correctement tous les responsables concernes par le sujet de la continuity 
d' activite. 

Ce document peut egalement etre decoupe pour des raisons diverses (geogra- 
phic, responsabilites differentes, sensibility aux risques variable, etc.). Concre- 
tement, cela pourra se traduire de la maniere suivante : 

• les sites industriels de l'entreprise etant traites separement, il existe done un 
document de ce type par site ; 

• les risques d'origine humaine ne sont pas inclus dans le document, mais sont 
traites succinctement dans un autre dossier classe confidentiel ; 

• seule la France (par exemple) est prise en compte dans l'analyse ; 

• les options de maitrise du risque depassant un certain cout sont juste men- 
tionnees mais ne sont pas traitees plus avant. 

Enfin, il existe aussi des mises k jour ou des documents dits « delta » qui ne 
couvrent que ce qui a change par rapport a une etude realisde precedemment. 


Prise de decision 


Le dossier et ses preconisations sont ensuite soumis aux responsables de 
l'entreprise pour decision. Il est frequent que la direction generale mette en 
place un comite de continuity pour centraliser la decision sur ces points. On se 
reportera aux chapitres 1 1 a 1 3 pour plus de details sur la gouvernance de la 
continuity. 

Reevaluation des options par le comite decisionnaire 

Ayant ainsi en main tous les elements, le comite de continuity prend les deci- 
sions qui s’imposent et lance les actions retenues. Il n’est alors pas rare qu'il 
procede a des reclassements d'options ou des requalifications. 

• Face a certaines menaces, il est decide de ne rien faire : il s’agit souvent de 
menaces communes a plusieurs entreprises, pour lesquelles la meme atti- 
tude est adoptee. 

• Le niveau de sensibility au risque peut etre reevalue, et cette modification 
entratner le fait que l'option d'acceptation du risque est plus (ou moins) sou- 
vent choisie. 

• Certains impacts sont requalifies, en particulier tout ce qui concerne la repu- 
tation de l'entreprise, et qui peut etre porte plus haut en termes d'impact et 
de consequences sur l'image de l'entreprise aupres du grand public ou sur 
son marche. 

• Des priorites dans le temps sont souvent affectees ou reaffectees : les options 
retenues devront se realiser selon un calendrier precis, different de celui pre- 
conisd au depart. 
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• Certaines options, seduisantes sur le papier, peuvent etre ecartees en raison 
de leur difficulty de mise en oeuvre en parallele des affaires courantes. C'est le 
cas notamment lorsque la realisation de l’option necessite un arret d'activite 
juge prejudiciable a l'entreprise. Certaines options peuvent ainsi etre reetu- 
diees sous cet angle. 

• Certaines options prevues dans l’etude pour toute l'entreprise pourront voir 
leur application limitee a un seul site, par exemple, ou a un seul departement 
de l’entreprise. 

• Plutot que de generaliser une option a l'entreprise entiere, il peut etre decide 
de ne commencer que sur un site ou un departement, sous forme de projet 
pilote. 

Toutes ces decisions sont enterinees par ecrit. 

Documentation de I'ensemble 

Suivant 1’objectif de tragabilite de la demarche, un document est constitue a 
partir des elements suivants : 

• le dossier d' etude des risques, comprenant sa partie de cadrage ; 

• un releve des decisions prises en comite de continuite ; 

• eventuellement, un suivi special d’etudes complementaires k mener. 

Il peut etre interessant de conserver cet ensemble dans un environnement iden- 
tify. Certaines approches reglementaires demandent en effet que des auditeurs, 
par exemple, puissent acceder a ces documents et y verifier la presence de cer- 
tains elements (voir le chapitre 13). 

Mise en oeuvre des options 

La mise en oeuvre des options de maitrise des risques se traduit concretement 
par le lancement de divers projets. On utilisera alors les methodes et outils de 
gestion de projets en vigueur dans l’entreprise. Il est important toutefois de con- 
siderer quelques aspects propres au sujet aborde qui seront approfondis dans le 
chapitre 12. 

• 11 peut s'averer necessaire d'approfondir la faisabilite de certaines options, ce 
qui entramera de possibles revisions de budget, a reporter au comite de con- 
tinuity. 

• Un budget specifique a probablement ete alloue a la continuity : un suivi spe- 
cial est alors necessaire pour bien decompter les engagements, les consom- 
mations de ressources et constater la baisse effective du « reste a faire ». 

• L'ensemble des actions k mener doit faire l'objet d’une coordination generate 
consacree a la continuity, afin de mettre k profit les synergies et de limiter 
- en les regroupant - les perturbations sur les affaires courantes. 

Un comite de suivi de la continuity est necessaire pour prendre en charge ces 
preoccupations. Il est en effet interessant de faire suivre tous ces projets par un 
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comite ad hoc, impliquant aussi bien des professionnels de la continuite que les 
operationnels de terrain et les dirigeants de l'entreprise. 

Enfin, comme dans tout projet, il ne faut pas oublier la finalite des actions 
menees pour ne pas changer implicitement de direction en cours de route. 

Suivi et controle des plans d'actions 

Le choix des options ayant abouti a la mise en oeuvre des plans d'actions corres- 
pondents, il est indispensable d'assurer un suivi de ces actions. Il faut en effet 
regulierement controler : 

• que les hypotheses emises lors de [’appreciation des risques sont toujours 
valables ; 

• que de nouveaux elements ne sont pas apparus, necessitant de recommencer 
Panalyse - et s'il y en a, que l’analyse decrite precedemment est bien reprise ; 

• que la societe n’a pas connu de modification majeure necessitant une revi- 
sion de l'etude : par exemple, en cas de fusion/acquisition ou, au contraire, de 
cession de l'entreprise, le perimetre, les actifs et les activites peuvent avoir 
change, et l'etude devra done etre reiteree. 

Des audits reguliers pourront etre organises pour s'assurer que les trois points 
precedents sont bien verifies. 

Dans la realite, les plans d'actions etablis auront suivi des voies diverses : cer- 
tains seront acheves, d'autres en cours, tandis que d’autres n'auront pas encore 
ete lances. Quelle que soit la situation de ces plans d'actions, le suivi doit avoir 
lieu et produire un document. 

Ce suivi fait partie des actions de controle de la continuite d'activite et du main- 
tien en condition du plan (voir les chapitres 12 et 13). 
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Chapitre 2 


L’analyse d’impact 
sur les activites 


L’analyse d'impact sur les activites (Business Impact Analysis ou BIA), appelee par- 
fois aussi « bilan de l'impact sur l'activite » afin de mieux correspondre au sigle 
anglais BIA, consiste a etudier comment les sinistres, lorsqu'ils se produisent, 
affectent le deroulement des activites de i’entreprise. L'attention se porte sur les 
activites dites critiques, c'est-a-dire les plus vitales pour l'entreprise et dont la 
perte est la plus grave pour elle. 

On examine les divers impacts du sinistre (financiers, organisationnels ou en 
termes d’image). On envisage aussi de quelle maniere l'activite critique peut 
continuer et la situation revenir a un mode acceptable de fonctionnement, pro- 
visoire puis definitif. 

Chronoloqie d un sinistre 


Le fil conducteur de cette etude est le temps. On considere la periode qui va des 
derniers preparatifs avant le sinistre jusqu’au retour a la normale et a la recupe- 
ration totale. La figure suivante aide k visualiser la chronologie detaillee ci- 
apres. 

Deroulement d'un sinistre 

Typiquement, le deroulement d'un sinistre et le developpement de ses conse- 
quences sur l'activite d'une entreprise peuvent se decomposer en cinq etapes, 
comme le montre le schema ci-apres. 

1 - Situation normale 

Avant que le sinistre ne se produise, tout est normal et les activites sont menees 
convenablement. Les actions de prevention ou de protection sont aussi effec- 
tuees regulierement et comme prevu, en particulier les sauvegardes et mises en 
securite des actifs importants (donnees, matieres, etc.). Cela concerne notam- 
ment l’informatique et les moyens techniques divers utilises. 
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RPO : Recovery Point Objective MTD : Maximum Tolerable Di 



Figure 2-1 : Deroulement d'un sinistre et impacts sur les activites 


Sur le schema, la fleche A indique la derniere sauvegarde ou le dernier point de 
recuperation utilisable. 

2 - Occurrence du sinistre 

Le sinistre a lieu (fleche B), causant la perte de moyens utiles a l'entreprise, qui 
ne peut alors plus travailler normalement. On prend en compte ici le moment 
effectif du sinistre, c’est-a-dire le moment oh les ressources en subissent 
l’impact. Il se peut que le sinistre lui-meme ne soit decouvert que plus tard. 
Assez souvent d'ailleurs, le sinistre est decouvert rapidement mais son ampleur 
n’est precisee qu'apres coup. Il arrive aussi que le sinistre ne soit pas ponctuel, 
comme dans le cas d'un incendie decouvert mais non maTtrise, dont on n'eva- 
luera les degats qu'une fois celui-ci eteint. 

Lorsque la situation est eclaircie, on est alors en mesure de savoir a partir de 
quel point de sauvegarde les donnees pourront etre recuperees. Ce point est 
appele RPO (Recovery Point Objective), c'est-a-dire « point cible de recuperation ». 
Par facilite, on appelle aussi RPO le delai observe entre ce point de sauvegarde 
et le sinistre. 

Lors d'un sinistre de grande ampleur, on peut observer plusieurs RPO pour plu- 
sieurs systemes differents. En outre, dans des situations complexes, lorsqu’il est 
impossible de recuperer les donnees a partir de la derniere sauvegarde, il est 
parfois necessaire de revenir plus loin en arriere, ce qui allonge ce delai de RPO. 
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3 - Travail en mode degrade 

Le sinistre s'etant produit, 1’entreprise ne peut plus travailler normalement : elle 
travaille en mode degrade. 

Les situations peuvent varier, mais il est bon d'avoir prevu ce mode degrade 
ainsi que des fagons de contourner les impacts du sinistre. Durant cette periode, 
on aura generalement recours au travail manuel, tandis que d'autres equipes 
chercheront a recuperer des moyens (informatique, locaux, etc.) permettant de 
travailler selon des procedures normales. 

Le delai entre le sinistre et la recuperation de ces moyens est appele RTO (Reco- 
very Time Objective) ou « temps de recuperation cible ». Ces « moyens permettant 
de travailler » ne correspondent pas forcement aux moyens habituels. Par exem- 
ple, durant cette periode, des donnees seront creees manuellement, par ecrit, a 
l’aide de formulaires papier. 

4 - Recuperation des moyens 

A partir de la remise en route de certains moyens informatiques a nouveau dis- 
ponibles (fleche C), deux types d'activites sont menes en parallele : les activites 
normales, eventuellement degradees, et des activites consistant a completer la 
restauration du systeme informatique en y entrant ce qui a ete perdu ou genere 
manuellement. Cela consiste a recuperer les donnees a partir des sauvegardes, 
effectuer des traitements de recuperation, entrer dans le systeme les transac- 
tions realisees a la main, en bref, collecter et saisir toute donnee necessaire au 
bon fonctionnement de l’entreprise. 

Durant cette periode, on observe une superposition de procedures normales et 
d’operations manuelles. Sa duree est designee comme WRT (Work Recovery Time ) 
ou « temps de recuperation du travail ». 

Cette periode se termine lorsque toutes les donnees et transactions ont btb 
saisies dans le systbme et que les moyens sont a nouveau disponibles pour 
travailler normalement. Il arrive assez souvent que ces moyens ne corres- 
pondent pas tout a fait aux moyens existant avant le sinistre, et que certains 
d’entre eux soient externalises chez un prestataire ou delocalises sur un site de 
secours. 

5 - Retour a la normale 

A partir de ce moment (fleche D), 1'impact du sinistre n’est theoriquement plus 
visible et l’activite de l'entreprise a repris dans des conditions normales. Il se 
peut que certains travaux restent encore h effectuer (au niveau de 1'informatique 
ou des locaux), mais 1'impact sur les activites, obligatoirement limite, est alors 
considere comme nul. 

Du point de vue de I'utilisateur... 

Au-dela de cette vision generale technique, I'utilisateur professionnel derriere 
son bureau aura un tout autre point de vue sur ses outils et sa capacite a tra- 


O 


Management de la continuite d’activite 


vailler dans la situation d’apres sinistre. Il constate en effet plus simplement 
qu'il y a une periode durant laquelle il ne peut pas ou presque travailler puis 
que, au bout d’un certain temps, tout est redevenu normal. C’est ainsi que 1'on 
definit la « duree d’indisponibilite maximale tolerable » pour 1'activite ou MTD 
( Maximum Tolerable Downtime ). Le MTD est done en quelque sorte un « seuil de 
douleur » fixe par les responsables de chaque activite. 

Les delais de recuperation RTO et RPO definis precedemment sont imposes par 
la technique et les divers choix qui ont ete faits pour les sauvegardes, par exem- 
ple. Le temps de recuperation du travail (WRT) est dependant de l'efficacite des 
travaux faits a la main, des donnees saisies sur formulaires, des evenements 
commerciaux ayant eu lieu durant le sinistre, etc. Le MTD, quant a lui, est un 
parametre d'exigence emanant de chaque metier. 

Comme on le voit sur le schema, on a ainsi ['equation : 

| MTD = RTO + WRT 

Il faut done s'assurer que cette equivalence est realisable. En effet, le membre de 
gauche (MTD) est decide, tandis que celui de droite (RTO + WRT) est s ubi. 

En general, on remarque que plus le point cible de recuperation des donnees 
(RPO) est eloigne dans le temps, plus le temps de recuperation cible (RTO) le 
sera egalement. En effet, logiquement, plus la quantite de donnees perdues est 
importante, plus les traitements a realiser pour les recuperer demanderont de 
temps. D'autre part, il est fort probable que les moyens informatiques disponi- 
bles soient sous-dimensionnes pour un tel surcroTt de travail. Il sera alors sou- 
vent necessaire de travailler de nuit, les moyens de restauration n'etant pas 
disponibles durant la journee. Cela demande par ailleurs de prevoir des moyens 
supplementaires. 

Reduire la duree maximale d’indisponibilite tolerable (MTD) demandera done 
d'abaisser le RTO (et par consequent le RPO), ainsi que de diminuer le temps de 
recuperation du travail (WRT). 

Bien evidemment, tous ces chiffres RPO, RTO, WRT et MTD varient en fonction 
du type d’activites de Tentreprise et des moyens techniques employes lors de la 
survenue d’un sinistre. 


Cadraqe de I’analyse 


Une fois le decor plante, il s’agit de mener une analyse d’impact des sinistres sur 
les activites. La premiere chose a faire est de definir le cadre dans lequel celle-ci 
est realisee. Il faut en particulier determiner son perimetre, ses objectifs et cer- 
taines hypotheses k prendre en compte. 
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• Le perimetre : considere-t-on l'ensemble de la societe ou bien un site, une 
activity ou un service en particulier ? Comment l'etude sera-t-elle decoupee 
en fonction de cela ? Comment delimite-t-on les activites ? 

• Les eventuelles etudes deja menees sur ce sujet ou d’autres etudes 
connexes que Ton pourra prendre comme point de depart (analyses de pro- 
cessus, par exemple). 

• Les elements techniques : considere-t-on le systeme informatique seul ou 
aussi les locaux ? Inclut-on dans l’etude le domicile des employes, leur ordi- 
nateur personnel (en secours), ou des sites de prestataires externes ? 

• Les objectifs de l’etude : que cherche-t-on exactement ? Vise-t-on a determi- 
ner les activites les plus exposees ou plutot a chiffrer des pertes potentielles, 
ou encore a determiner des priorites ? Veut-on simplement mesurer les ecarts 
entre ce que Ton imagine et la realite ? 

• Les methodes employees : procedera-t-on par groupes de travail, par inter- 
views de responsables ou par analyse technique des moyens existants ? 

• Les aspects financiers : veut-on estimer les cofits du plan de continuity a 
venir ou fixer un cofit a ne pas depasser ? Prefere-t-on imaginer plusieurs sce- 
narios avec differents niveaux de cofits ? 

• Les eventuelles exclusions de l’etude 

• Toute hypothese jugee interessante a etudier, telle que la non-existence 
d'un site de secours ou le fait que les pics d’activite doivent etre rendus pos- 
sibles meme par les moyens de secours, ou encore que les donnees ne peu- 
vent sortir du site, etc. 

Cette etape aboutira a une meilleure comprehension, partagee avec la direction 

generale, de ce que l'analyse d’impact sur les activites peut et doit produire. Elle 

est formalisee dans un document intitule « note de cadrage » (voir en fin de 

chapitre). 


Determiner les activites critiques 


Les activites critiques sont celles dont la disparition endommage le plus l'entre- 
prise, car elles en constituent le fondement. Ces activites critiques feront l’objet 
d’une attention renforcee en cas de sinistre. Elles beneficieront de moyens plus 
resilients et seront privilegiees dans les actions de reprise et de redemarrage. 

Un exercice difficile 

Cette btude des activites de l'entreprise est un exercice difficile. Toute la diffi- 
culty consiste a obtenir une vision partagee de ce que sont ces activites jugees 
critiques. En effet, chaque responsable aura probablement tendance a citer son 
activity comme etant critique, alors qu’il existe certainement des activites plus 
critiques que les autres : comment choisir ? 
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Une autre difficulty provient du fait que 1'entreprise n’a pas forcement realise au 
prealable une description de ses activites. Avant de savoir laquelle est critique, 
il faut obtenir une liste des activites suffisamment descriptive. 

Globalement, on rencontre trois situations. 

1 . L’entreprise est capable de citer ses activites les plus critiques et d'indiquer a 
quoi celles-ci correspondent dans son organisation, ses implantations geo- 
graphiques et les moyens dedies a leur realisation : c'est un cas relativement 
ideal. La description, en revanche, n'est peut-etre pas modelisee a l'aide 
d'outils appropries ni avec rigueur, mais c’est un point de depart utile pour 
l'analyse d’impact. 

2. L'entreprise presente ses activites de maniere simple et succincte. Elle a rea- 
lise un premier niveau d' organigramme indiquant qui est responsable de 
quelle activite. En revanche, il n’existe aucune liste de ce qui pourrait etre criti- 
que dans ses activites, ni aucune indication de moyens ou de site. Pour com- 
mencer l’analyse d’impact, on s'adressera done aux responsables designes. 

3. L'entreprise a realisd une etude approfondie dite « analyse de processus » 
avec des outils et une formalisation forte. Malheureusement, ces processus 
sont souvent transversaux a son organisation et il n'est pas toujours aise de 
savoir quels sont les moyens impliques et les responsables. La vision 
« activite » et la vision « processus » pouvant etre totalement independantes 
l’une de l'autre, il faudra obtenir, pour une bonne analyse d'impact, une 
vision commune entre les responsables de processus et les responsables de 
departements ou services. 

Concernant tous ces aspects, le document de « politique de continuite » (voir le 
chapitre 1 1) se revble d'un grand secours. C'est lui qui doit indiquer par quel 
cote le probleme doit etre aborde. 

A la fin de l'analyse d'impact (BIA), on obtient ainsi en resultat une liste des acti- 
vites les plus critiques de l'entreprise. 

Activites, fonctions, processus... : le piege du vocabulaire 

Une remarque importante ici : le vocabulaire peut etre source de confusion. On parlera 
indifferemment dans les entreprises « d'activites », de « fonctions », de « processus », voire 
de process (en anglais) avec des significations et des hierarchies variables. 

Dans le cadre de la continuite d'activite, il faut rechercher un niveau de decoupage rai- 
sonnable de l'entreprise, qui doit etre regardee comme un tout autonome face au sinistre. 
On preferera ainsi raisonner par responsable, par departement ou par groupe de moyens. 

Identifier les activites 

Il est possible de decouper les activites de l’entreprise en plusieurs niveaux. L’exem- 
ple qui suit montre un decoupage en deux niveaux : fonctions et processus. Le 
tableau indique en plus si le processus merite d’etre etudie ou non, best-a-dire qu'il 
est porte un premier jugement sur les candidats au titre de processus critique. 
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Tableau 1-1 : Exemples de fonctions et processus d'une entreprise 


Fonction 

Processus 

A etudier ? 


Prise de commandes 

Oui 

Vente 

Reporting 

Oui 


Cestion d'echantillons 

Non 


Promotions 

Non 

Marketing 

Gestion du catalogue 

Oui 

Gestion des salons 

Non 


Gestion des partenaires 

Oui 


Reception des livraisons 

Oui 

Logistique 

Organisation des expeditions 

Oui 


Gestion du stock 

Oui 


Pour chacune de ces fonctions et processus, on indique s'il faut etudier ou non 
l'impact d'un sinistre eventuel. Pour remplir ce tableau, il est conseille de faire 
appel aux directeurs d’activites (business owners) ou aux responsables de proces- 
sus (process owners). Il est egalement preferable de limiter le nombre de niveaux 
de decoupage a une proportion raisonnable. 

Ce n'est qu'une fois ces choix effectues qu’on pourra estimer les impacts d’un 
sinistre. 

Estimer les impacts financiers et operationnels 

Les impacts financiers se chiffrent en euros ou par une mesure qualitative eche- 
lonnee telle que « faible/moyen/fort » ou notee de 0 a 3, etc., de maniere compa- 
rable a ce qui a ete presente dans le premier chapitre. 

Les pertes financieres sont en general donnees par jour. Il est important de con- 
server le meme type de mesure pour tous les processus etudies, de maniere a 
pouvoir etablir des comparaisons. 


Tableau 2-2 ; Estimation des pertes pour Texemple precedent 


Fonction 

Processus 

Perte par jour 

Vente 

Prise de commandes 

600 000 € 


Reporting 

60 000 € 

Marketing 

Gestion du catalogue 

500 000 € 

Gestion des partenaires 

300 000 € 


Reception des livraisons 

100 000 € 

Logistique 

Organisation des expeditions 

200 000 € 


Gestion du stock 

50 000 € 
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Concernant l'impact operationnel, il vaut mieux d'abord elaborer une grille 
d’analyse avant d'interroger les responsables d'activites. Cette grille, qui pourra 
evoluer par la suite en fonction des discussions, abordera par exemple les 
aspects suivants : 

• les problemes de flux de tresorerie, de mouvements de fonds, les questions 
logistiques ; 

• la perte de confiance des partenaires (clients, investisseurs. . . ) ; 

• la degradation de l'image de l'entreprise ; 

• la demoralisation du personnel ; 

• les sinistres chez des revendeurs ; 

• les violations reglementaires inevitables (declarations obligatoires devenues 
impossibles, etc.). 


Tableau 2-3 : Evaluation des impacts operationnels sur trois aspects 



Impact de la perte : 
0 (nul) a 5 (tres fort) 

Fonction 

Processus 

Perte par 
jour 

Logistique Image 

Revendeurs 

Vente 

Prise de commandes 

600 000 € 

3 

5 

0 

Reporting 

60 000 € 

0 

0 

0 

Marketing 

Cestion du catalogue 

500 000 € 

2 

3 

3 

Cestion des partenaires 

300 000 € 

3 

2 

5 

Logistique 

Reception des livraisons 

100 000 € 

5 

2 

2 

Organisation 
des expeditions 

200 000€ 

5 

3 

3 

Cestion du stock 

50 000 € 

3 

2 

4 


Une certaine pratique consiste a faire evaluer les criteres en aveugle par diffe- 
rentes personnes. Il est aussi possible de confier cette evaluation a un expert 
externe. Plusieurs approches peuvent done etre adoptees, en retenant in fine les 
moyennes entre les differentes approches, par exemple, et en se faisant expli- 
quer les gros ecarts devaluation si on en constate. 

Identifier les processus critiques 

Pour etablir un classement final et en deduire les processus critiques, plusieurs 
possibility existent. Sur l'exemple precedent, il est possible d'operer comme 
suit : 

1 . transformer 1'evaluation de la perte par jour en un chiffrage echelonne de 0 a 5 ; 
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2. affecter a chaque colonne une ponderation, telle que : 

- un poids double pour les pertes financieres et la degradation de l’image ; 

- un poids simple pour les problemes de logistique et ceux concernant les 
revendeurs. 

On obtient ainsi une note finale, qui permet de classer les processus en fonction 
de leur degre critique. 


Tableau 2-4 : Evaluation des processus en fonction de leur degre critique 



Impact de la perte : 1 

0 (nul) a 5 (tres fort) 

Note 

Fonction 

Processus 

Perte 
par jour 

Logistique 

Image 

Revendeurs 

finale 

Vente 

Prise de commandes 

5 

3 

5 

0 

23 


Reporting 

i 

0 

0 

0 

2 

Marketing 

Gestion du catalogue 

4 

2 

3 

3 

19 


Gestion des partenaires 

3 

3 

2 

5 

18 

Logistique 

Reception des livraisons 

1 

5 

2 

2 

13 


Organisation des 
expeditions 

2 

5 

3 

3 

18 


Gestion du stock 

0 

3 

2 

4 

11 


Coefficient retenu 


1 

2 

1 



Dans ce tableau, on peut ainsi selectionner, d'apres leur note finale, les proces- 
sus suivants comme etant les plus critiques : 

• Vente : prise de commandes (23) ; 

• Marketing : gestion du catalogue ( 19) ; 

• Marketing : gestion des partenaires (18) ; 

• Logistique : organisation des expeditions (18). 

Ce type d'approche necessite bien entendu plusieurs iterations entre les diffe- 
rents responsables concernes pour arriver a une vision partagee. En general, le 
tableau devaluation de 1’impact est rempli avec l’aide des personnes suivantes : 

• les colonnes relatives a 1’impact de la perte sont evaluees par les 
operationnels ; 

• les poids (ou coefficients) sont fixes par la direction generate. 

Par ailleurs, il est aussi possible de proceder en etablissant des regies de selec- 
tion des processus critiques du type de celles presentees ci-apres. Sera ainsi 
retenu comme critique : 
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• tout processus ayant un 5 dans une colonne d' impact ; 

• tout processus comportant deux 4, etc. 

La methode de determination des processus critiques peut faire l’objet d'un 
point de la note de cadrage (voir en fin de chapitre). 

Surtout, il est important que la regie ait bien ete discutee entre tous les respon- 
sables concernes, car chacun a tendance a considerer spontanement que c’est 
son processus qui est le plus critique. 

A la fin de l'analyse, on dispose d’une liste des activites, fonctions et processus 
critiques, c’est-a-dire dont la perte eventuelle affecterait le plus l'entreprise. 


Determiner les conFiqurations 


Une fois les processus critiques determines dans l'entreprise, il convient d'eta- 
blir, pour chacun d'entre eux, les points suivants : 

• la duree maximale tolerable d'interruption de l'activite (MTD) et les priorites 
pour les actions de reprise ; 

• les elements critiques dans le domaine de l'informatique ; 

• les autres elements critiques. 

Ces elements connus, il sera alors possible d'en deduire les contraintes qui por- 
tent sur eux. Cela servira pour les choix techniques (voir Partie III) et pour ['ela- 
boration du plan de reprise (voir Partie II). 

MTD et priorites 

Il s’agit de determiner, pour les processus critiques selectionnes precedemment, 
le temps maximal durant lesquels ils peuvent etre interrompus : le MTD (Maxi- 
mum Tolerable Downtime). 

Cette duree pourra etre evaluee en fonction de la perte financiere, par exemple : 
plus la perte est forte, plus la duree devra etre faible. Il est egalement possible 
de proceder a une evaluation a partir des impacts estimes (echelonnes par 
exemple de 0 a 5). Des exemples sont fournis dans les tableaux page suivante. 

Remarque 

Sur le tableau 2-6 on notera que le temps maximal d'interruption admissible est donne 
en jours et que le processus le plus critique ne doit pas s'interrompre plus d’une demi- 
journee. 

L’etablissement de priorites est utile pour realiser un arbitrage durant le plan de 
reprise : il s’agit de decider quel processus sera relance avant quel autre. 
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Tableau 2-5 : Evaluation des processus critiques seiectionnes 



Impact de la perte : ' 

0 (nul) a 

5 (tres fort) 

Note 

Fonction 

Processus 

Perte 
par jour 

Logistique 

Image 

Revendeurs 

finale 

Vente 

Prise de commandes 

5 

3 

5 

0 

23 

Marketing 

Cestion du catalogue 

4 

2 

3 

3 

19 

Cestion des partenaires 

3 

3 

2 

5 

18 

Logistique 

Organisation des 
expeditions 

2 

5 

3 

3 

18 

Support 

Hotline 

1 

2 

5 

3 

17 

client 

Expertise Niveau 1 

1 

2 

4 

5 

17 


Couplage carte 
bancaire 

4 

1 

4 

1 

18 

Paiement 

Couplage VAD 
(verification avant 
depart) 

3 

1 

3 

3 

16 


Coefficient 

2 

1 

2 

1 



Tableau 2-6 : Evaluation en termes de MTD et de priorites de reprise 



Gravite : 0 (nulle) a 30 (tres forte) 

Fonction 

Processus 

Gravite 

MTD 

(en jours) 

Ordre de 
priorite 

Vente 

Prise de commandes 

23 

0,5 

1 

Marketing 

Cestion du catalogue 

19 

1 

2 

Cestion des partenaires 

18 

1 

2 

Logistique 

Organisation des expeditions 

18 

1 

1 

Support 

Hotline 

17 

2 

2 

client 

Expertise Niveau 1 

17 

2 

3 

Paiement 

Couplage carte bancaire 

18 

1 

2 

Couplage VAD (verification avant depart) 

16 

3 

4 
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II apparaft par ailleurs que la priorite ne suit pas tout a fait la hierarchie des 
MTD : 

• L' organisation des expeditions a une priorite de 1, alors que son MTD la place 
en seconde position. Cela s'explique par le fait que, d'un point de vue opera- 
tionnel, la reprise des autres processus depend du bon redemarrage de celui-ci. 

• II en va de meme de l'expertise niveau 1 , dont la priorite est fixee juste apres 
celle de la hotline. 

De meme, dans le cas de cette societe, la perte de la hotline peut sembler peu 
importante ou sous-estimee (impact evalue a 17 sur 30). Cela tient au fait que 
les clients ont aussi 1'alternative de se tourner vers un revendeur. Cet exemple 
montre done bien qu'il ne faut surtout pas perdre de vue la realite operation- 
nelle. 

Systemes et applications informatiques critiques 

On cherche maintenant a determiner la correspondance entre les processus cri- 
tiques et les applications et moyens informatiques. De maniere evidente, les 
applications informatiques qui soutiennent les processus critiques deviennent 
elles-memes critiques a partir du moment oh leur indisponibilite oblige le pro- 
cessus a s'arreter ou a recourir a des procedures manuelles. 

Le tableau suivant, qui mentionne les elements critiques principaux, illustre 
cela par l'exemple : cela concerne aussi bien une application informatique parti- 
culiere qu'une connexion reseau ou un plateau de telephonie. 


Tableau 2-7 : Exemples de systemes et applications critiques 


Fonction 

Processus 

Applications et systemes critiques 

Vente 

Prise de commandes 

Telephonie 

Application Vador sur Unix, site de Lyon 

Marketing 

Cestion du catalogue 

Serveurs web de gestion du catalogue, 
site de Lyon et hebergeur 

Cestion des partenaires 

Application Agepar sur mainframe, site de 
Paris 

Logistique 

Organisation des expeditions 

Logiciel SAP S&D 

Couplage avec logistique Infodis 

Support 

Hotline 

Centre d'appels, site de Paris 

client 

Expertise niveau 1 

Plateau telephonique, site de Lyon 

Paiement 

Couplage carte bancaire 

Acces au systeme d'autorisation 

Couplage VAD (vente a distance) 

Acces a la VAD et programme VAD 


II est ici important de faire preuve de pragmatisme. En effet, il ne sert a rien 
d'entrer dans les details de quinze applications differentes si toutes ces applica- 
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tions subissent le meme sort en termes de disponibilite (si elles sont, par exem- 
pie, installees sur la meme machine). 11 faut alors raisonner par groupe 
d’applications. 

Les services informatiques ont par ailleurs probablement mis au point des con- 
figurations par « service » (au sens de service a l'utilisateur), avec un niveau de 
finesse variable. Les contraintes de service seront alors appliquees a tout cet 
ensemble. 

D’autre part, la reflexion doit tenir compte des deux grandes tendances 
suivantes : 

• Avec les evolutions des reseaux ou des grilles de calcul ces dernieres annees, 
il est fortement conseille de noter la situation geographique des moyens 
techniques lorsque celle-ci n'est pas la meme pour tous. Il n’est pas certain, 
en effet, que le serveur HTTP (accueil), le serveur web et le serveur de bases 
de donnees se trouvent dans la meme salle ou sur le meme site. 

• La virtualisation des serveurs a conduit a proceder a des regroupements sur 
les memes machines physiques, au sein de partitions dans de gros serveurs. 
C'est la tendance inverse de la precedente. Ce regroupement a done des effets 
sur la criticite : si une application dans le lot est critique, le serveur (au mini- 
mum) le sera aussi. 

Enfin, certains systemes sont bien evidemment utilises par tous, comme : 

• les PC et imprimantes (partagees ou non) ; 

• la messagerie d'entreprise (Notes, Exchange, etc.) ; 

• les reseaux locaux d’echanges et de partage ; 

• les serveurs de stockage de type NAS (network-attached storage), de partage de 
fichiers ou les extensions de disques ; 

• les telecopieurs ou le couplage a la telecopie, etc. 

Ces systemes generaux necessitent une prise en compte speciale, car non affectee 
a une activite ou un processus particulier (voir le chapitre 4). Leur degre de criticite 
sera different en fonction de la possibility de substitution (utilisation d'un PC de 
secours garde en reserve) ou non (le serveur de courriels est perdu ou inaccessible). 

Autres ressources critiques 

Pour terminer, il convient de lister egalement les autres ressources necessaries 
au bon fonctionnement des processus critiques. On pourra ainsi passer en revue 
des elements tels que : 

• les locaux informatiques et industriels ; 

• les bureaux ; 

• les equipements de production (machines-outils) ; 

• les matieres premieres ; 

• le mobilier de bureau ; 

• les telecopieurs, imprimantes et photocopieurs ; 
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• les equipements de securite ; 

• les equipements de telecommunication (autocoms, etc.) ; 

• les outils et pieces de maintenance ; 

• les documents critiques ; 

• les archives papiers ; 

• les fournitures de bureaux. 

La tache de definir la liste des moyens indispensables pour travailler incombe 
aux responsables d'activites ou de processus. Cette liste devra contenir un des- 
criptif de chaque element et un recensement des quantites. 


Tableau 2-8 : Inventaire des ressources critiques 


Fonction 

Processus 

Materiel 

Ressources critiques 



Telephone 

6 telephones avec messagerie vocale, mise en 
attente et routage 



Telecopie 

1 fax entrant 
1 faxsortant 
feuilles A4 



Imprimante 

1 imprimante laser noir et blanc (15 p/min) 



Copieur 

1 copieur haute vitesse 

Vente 

Prise 

de commandes 

Papeterie 

12 blocs-notes A5 
50 stylos bille 

papier blanc etjaune(l 500 p/jour) 



Documents 

cruciaux 

liste alphabetique des clients avec code client 
liste des produits avec codes produits 
liste des contrats de maintenance avec date de 
fin 




150 formulaires de commandes 



Mobilier 

7 bureaux standard 
10 chaises 

1 table douze places avec 12 chaises 
1 armoire a cles trois parties 


Determiner les parametres de reprise 


Pour chaque groupe d'applications et de systemes qui correspondent a des acti- 
vites critiques, on determine ensuite les parametres de reprise. Ceux-ci sont au 
nombre de trois : RTO, RPO et WRT, tels que definis precedemment. 

Dans les sigles precedents, la lettre O signifie « objectif » : il faut done se souve- 
nir que ces durees sont des valeurs cibles a atteindre et qu’avant de les fixer il 
faut etre realiste, car elles seront contraignantes. Cela necessitera plusieurs 
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allers et retours entre les responsables d'activites et le service informatique 
pour aboutir a des chiffres viables. 

De meme, le WRT correspond a la periode de travail intermediate avec des pro- 
cedures partiellement degradees et des tSches de reprise de donnees dans les 
systemes informatiques. 11 taut prevoir des procedures simples, des formulaires 
et des aides diverses (PC portables avec logiciels) pour ameliorer le vecu de 
cette periode. 

RTO et WRT 

Rappellons que le RTO (Recovery Time Objective) est le delai qui s'ecoule entre la 
perte des moyens a cause du sinistre et leur recuperation dans un etat accepta- 
ble. Autrement dit, c’est le temps pendant lequel l’employe doit se debrouiller 
sans le systeme informatique. 

Le WRT correspond a la periode qui suit le retour de Tinformatique : Temploye 
ou les informaticiens mettent les donnees a niveau, aides en cela idealement 
par des formulaires manuels et par Tassistance technique du service informati- 
que. 

Avec les utilisateurs qui peuvent donner des indications et des contraintes, on 
peut commencer a envisager des valeurs possibles pour RTO et WRT. 


Tableau 2-9 : Determination des RTO et WRT 


Fonction Processus 

Applications et sytemes critiques RTO 

WRT 

Vente 

Prendre les 
commandes 

Systeme de prise de commandes 

1 jour 

2 jours 

Systeme de gestion des clients 

2,5 jours 

0,5 jour 

EDI (echanges de donnees informatises) 

2 jours 

1 jour 

Service 

client 

Traiter les 
commandes 

Systeme de prise de commandes 

1 jour 

1 jour 

Facturation client 

1,5 jours 

0,5 jour 

Gestion d’inventaire 

1 jour 

1 jour 


On notera que plus le RTO est long, plus y a de chances (ou malchances) que le 
WRT le soit aussi. Plus 1'absence de Tinformatique a ete longue, plus la quantite 
de donnees a ressaisir est importante. Si Ton veut reduire le WRT, il faut done 
faciliter les saisies dans le nouveau systeme et limiter le RTO au maximum. 

Ajustements sur les MTD 

Le MTD est le temps maximum d'interruption admissible - tout compris. Il va 
ainsi correspondre a la somme du RTO et du WRT. Ce parametre est assez sou- 
vent evalue independamment des autres par des responsables d'entites ou de 
departements. Il n’est pas rare qu’il soit presente comme un chiffre non negocia- 
ble. 
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Or, rien ne dit a priori que l’egalite MTD = RTO + WRT puisse etre respectee. En 
effet, le terme de droite (RTO + WRT) est souvent trop eleve pour convenir a la 
valeur indiquee comme « seuil de douleur » par le MTD. 11 faut done, la encore, 
discuter et faire maints ajustements pour parvenir a des valeurs realistes. 


Tableau 2-10 : Ajustement des valeurs de RTO et WRT sur les MTD 


Fonction 

Processus 

MTD RTO WRT 

(en jours) (en jours) (en jours) 

Vente 

Prise de commandes 

0,5 

0,25 

0,25 

Marketing 

Cestion du catalogue 

1 

0,5 

0,5 

Gestion des partenaires 

1 

0,5 

0,5 

Logistique 

Organisation des expeditions 

1 

0,5 

0,5 

Support client 

Hotline 

2 

1,5 

0,5 

Expertise Niveau 1 

2 

1,5 

0,5 

Paiement 

Couplage carte bancaire 

1 

1 

0 

Couplage VAD (vente a distance) 

3 

1 

2 


Notons que ces chiffres peuvent, pour une premiere estimation, ne pas etre 
totalement realistes. 11 arrive en effet que se presentent les situations suivantes. 

• Le MTD fixe par le directeur metier n'est pas realisable, car le RTO (subi) est 
trop eleve : la recuperation des moyens techniques prend trop de temps, par 
exemple. On cherchera alors soit a raccourcir cette duree en ameliorant les 
possibility de bascules sur des systemes de secours, soit a limiter les preten- 
tions en termes de MTD. 

• La duree du WRT est telle qu’elle ne peut permettre d'atteindre le MTD fixe : 
on travaillera alors a abreger les travaux manuels de reprise (par le recours a 
la saisie en interim ou en mettant au point divers scripts de traitements, par 
exemple) ou bien, la encore, on abaissera les exigences en termes de MTD. 

II apparaft done possible de jouer sur ces trois parametres : MTD, WRT et RTO. 
En general, une concertation avec les directeurs metier et les responsables du 
service informatique permet d’arriver a un compromis coherent en termes de 
reprise technique et de travail de mise a jour manuelle, donnant qui plus est 
satisfaction pour le delai d'interruption maximum. 

Bien entendu, il faudra tenir compte des cofits associes a tout cela, concernant 
aussi bien la perte d' exploitation que la mise en oeuvre de solutions onereuses 
et a disponibilite elevee ou encore que la reconstruction rapide. 


Chapitre 2 - Lanalyse d’impact surles activites 


RPO 

Le RPO (Recovery Point Objective ) indique la durte retroactive permettant d'obtenir 
une donnte flable et correctement utilisable. Celle-ci correspond en general au 
temps qui separe le sinistre de la derniere sauvegarde utilisable. 

Precisons que la derniere sauvegarde utilisable ne correspond pas forctment a 
la derniere sauvegarde effectuee. C’est le cas, par exemple, lorsque plusieurs 
traitements sont lids entre eux et que l'un d'eux possede une sauvegarde plus 
ancienne que celle des autres. 11 pourra alors etre necessaire de remonter au 
moment des dernieres sauvegardes communes a tous. 

Qui dit sauvegarde ne dit pas forcement bande magnetique, meme si ce support 
ttait le plus courant ces trente dernieres anntes. 11 existe depuis quelque temps 
des sauvegardes sur disque, des copies instantanees (snapshot ou cliches) ou 
encore des miroirs distants sur site eloigne. Les bandes magnetiques presentent 
toutefois l’interet d'etre amovibles et de pouvoir etre conservees en lieu stir. On 
se reportera sur ces points au chapitre 8. 

Concernant la restauration, la technologie actuelle offre tout un ensemble de 
moyens permettant de reconstituer un ttat propre des donnees situe plus ou 
moins loin dans le passe. A partir de ces donnees recuperees, il est egalement 
possible dans certains cas de rt-appliquer informatiquement les mises a jour 
perdues : il suffit pour cela d'avoir mis en place un sous-systeme maintenant un 
journal (log) des actions effectuees, et d’avoir retrouve ledit journal. Le proces- 
sus de reconstruction prend en general du temps et de la puissance machine. 
Reconstruire les donnees jusqu'au terme du journal (c’est-a-dire jusqu'a un 
moment tres proche de celui du sinistre) peut necessiter un delai allant de quel- 
ques minutes a quelques jours. En general, le journal ne sera pas stocke avec les 
donnees, de maniere a ne pas tout perdre en meme temps. Malheureusement, 
ces techniques tres utiles portent rarement sur l'ensemble des donnees a traiter, 
et il faut done utiliser simultanement plusieurs techniques plus ou moins rtcen- 
tes et plus ou moins automatiques. Tous ces aspects techniques sont couverts 
plus en detail dans la partie III. 

Pendant la duree du RPO, les donnees non sauvegardees peuvent connaTtre plu- 
sieurs situations : 

• soit elles sont conservees dans des systemes provisoires (PDA, ordinateurs 
portables, PC, Internet, etc., avant un transfert qui n'a pas eu lieu) ; 

• soit elles n'ont pas ttt sauvegardees mais peuvent etre reconstitutes via les 
journaux (ou logs ) qui seront appliques durant la recuperation du travail (WRT) ; 

• soit elles sont perdues mais peuvent etre reconstitutes en appliquant des 
traitements de rattrapage (souvent des traitements par lots ou batch) ; 

• soit elles ont ttt nottes par tcrit et peuvent done etre ressaisies ulttrieure- 
ment (plus ou moins facilement) ; 

• soit elles sont perdues dtfinitivement. 
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Ces diverses situations doivent etre prises en compte pour recuperer les don- 
nees durant la periode de WRT. En effet, plus le RPO est long, plus le WRT le sera 
aussi. Enfin, il est possible que des donnees aient ete definitivement perdues. 
En realite, le RPO est impose par les choix techniques qui ont ete faits pour se 
premunir d'un sinistre. Il depend le plus souvent de la frequence des sauvegar- 
des. Il arrive que celle-ci ait ete decidee pour repondre aux besoins des respon- 
sables d'activite, mais c'est rarement le cas. 

Lors d'une analyse d'impact, on peut se limiter & constater les RPO suite aux 
choix techniques realises dans le passe. On peut aussi noter les insuffisances 
existantes et preconiser des valeurs plus appropriees aux contraintes de MTD. 
Pour obtenir ces valeurs dans la realite, des actions techniques devront alors 
§tre prevues (voir sur ces points le chapitre 3). 


Tableau 2-11 : Exemples de RPO 


Fonction 

Processus Applications et systemes RP0 

critiques 

Vente 

Prise de commandes 

Telephonie 

Application Vadorsur Unix, site 
de Lyon 

1 jour 

Marketing 

Gestion du catalogue 

Serveurs web de gestion 
du catalogue, site de Lyon 
et hebergeur 

0 a 5 jours 

Gestion des partenaires 

Application Agepar sur 
mainframe, site de Paris 

1 jour 

Logistique 

Organisation des expeditions 

Logiciel SAP S&D 
Couplage avec logistique 
Infodis 

1 jour 

Support client 

Hotline 

Centre d’appels, site de Paris 

nsp 

Expertise Niveau 1 

Plateau telephonique, site de 
Lyon 

nsp 

Paiement 

Couplage carte bancaire 

Acces au systeme 
d’autorisation 

0,5 jour 

Couplage VAD 
(vente a distance) 

Acces a la VAD et programme 
VAD 

1 jour 


Dans cet exemple, la colonne RPO indique : 

• un chiffre de 0 a 5 jours : en effet, la sauvegarde etant effectuee Ie vendredi 
soir, le RPO depend alors de la date du sinistre ; 

• nsp : pour les cas ou il n’y a pas a proprement parler de donnees a recuperer ; 

• 1 jour : delai maximum lorsque la sauvegarde est journaliere ; 
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• 0,5 jour : le delai est court, dans cet exemple, car il suffit de recuperer des 
fichiers systemes et tres peu de donnees. 

Rappelons que ces chiffres indiquent la plage durant laquelle les donnees sont 
soit perdues, soit a reconstruire. Ils ne donnent pas d'indication sur la duree de 
cette reconstruction (qui est incluse dans le WRT ou temps de recuperation du 
travail). 

Procedures de secours 

Les procedures de secours visent a permettre le travail malgre la perte des 
moyens informatiques et non informatiques causee par un sinistre. Les proces- 
sus concernes sont ceux qui ont ete au prealable selectionnes comme critiques. 
Ces procedures, moins efficaces que les procedures habituelles, peuvent recou- 
rir a des taches manuelles (par exemple : saisie sur papier ou, mieux, sur formu- 
laires, appels telephoniques, etc.) qui necessiteront peu de moyens. 

Il s’agit alors : 

• de collecter les procedures existantes et de s'assurer qu'elles sont viables ; 

• de determiner celles qui manquent et qu'il conviendrait de realiser. 

Ces procedures de secours peuvent avoir a cohabiter avec les procedures nor- 
males durant des phases transitoires. Ceci represente d’ailleurs une difficulte 
supplementaire a gerer. Dans certains cas, en effet, la procedure dite 
« normale » devra etre suspendue et une procedure « de secours » activee. 

Cela peut concerner en particulier des aspects extremement sensibles comme 
l'attribution de droits d'acces au systeme en cas de panne. Si la procedure nor- 
male prevoit des circuits durant deux jours alors que le temps presse, on 
recourra a une procedure d’urgence dflment notee et suivie a la lettre. Car, bien 
qu’on sorte du cadre de la procedure normale, il n’est pas question non plus de 
se retrouver dans un vide procedural. Ce type de difficulte se decouvre et se 
traite durant les tests du plan de continuite (voir le chapitre 6). 

Ces procedures de secours doivent egalement prendre en compte le fait que les 
informations qu’elles produisent doivent pouvoir etre ulterieurement entrees le 
plus aisement possible dans le systeme informatique, une fois celui-ci de nou- 
veau operationnel. 


Documentation de l analyse d’impact sur les activites 


L'analyse ou le bilan d'impact sur les activites (BIA) produit un document recapi- 
tulate. Ce document (ou ensemble de documents) est realise au fur et k mesure 
de la progression de l'etude decrite precedemment et doit etre conserve dans un 
systeme documentaire adapte. Il fera l’objet d’audits ulterieurs (voir le chapi- 
tre 13). 
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Ce document comporte au moins les elements suivants : 


Analyse d'impact sur les activites (BIA) 

1. Note de cadrage du BIA 

1.1. Objectifs de I'etude 

1.2. Decoupage du sujet a etudier 

1.3. Hypotheses de depart 

2. Analyse des processus d'affaire 

2.1. Identification des fonctions et processus 

2.2. Estimation des impacts financiers et operationnels 

2.3. Liste des processus critiques pour I'entreprise 

3. Configurations concernees 

3.1. Evaluation du MTD et des priorites relatives 

3.2. Determination des systemes et applications informatiques critiques 

3.3. Determination des autres elements critiques 

4. Parametres de reprise (pour les processus critiques) 

4.1. RTOetWRT 

4.2. RPO 

4.3. Procedures de secours existantes ou a creer 

5. Conclusion du document BIA 

5.1. Traqabilite des decisions prises 

5.2. Proposition de decisions a prendre 

5.3. Proposition de suite a donner 
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Chapitre 3 


Le developpement 
d une strategie 
de continuity 


Au cours des analyses presentees dans les deux chapitres precedents, l'entre- 
prise a fait le point sur les risques qu'elle encourt et a determine ses activites 
critiques, dont la perte lui causerait les dommages les plus forts. Les delais de 
reprise et les temps d'immobilisation maximum acceptables de ces activites ont 
ete etudies et sont desormais connus. 

Il reste maintenant k effectuer les actions preventives necessaries pour que les 
exigences des activites critiques puissent §tre remplies. C'est l'objet de ce chapi- 
tre, qui explique comment determiner ces actions et comment definir la manibre 
dont la continuity d’activite est assuree dans l'entreprise. Tout ce dispositif 
constitue la strategie de continuity de l'entreprise. 

Les aspects techniques de ce chapitre ne sont qu'esquisses, afin de ne pas nuire 
a son deroulement ; ils seront abordes plus en profondeur dans la troisieme par- 
tie de cet ouvrage. 

Produire une strategie de continuity est un travail necessitant cinq phases prin- 
cipales d'etude et de decision. 

1 . Dans une premiere phase, a partir de l'analyse d’impact sur les activites (BIA 
- voir le chapitre 2) qui a precede, les besoins en termes de reprise sont affi- 
nes et determines precisement. 

2. Au cours de la deuxieme phase, on passe en revue les solutions possibles et 
realistes. 

3. La troisieme phase permet de determiner les delais inherents aux solutions 
proposees en rapport avec les exigences formalisees durant l'analyse 
d'impact pour chaque activity. 

4. La phase quatre consiste h realiser une etude de coCit et faisabilite sur les 
solutions possibles. 

5. Enfin, la phase cinq mene a une conclusion et a une prise de decision : la 
strategie est prete et documentee. 

Cette strategie servira de fondement au developpement du plan de continuity 
proprement dit. 
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Phase 1 - Expression des besoins en termes de reprise 


Cette premiere etape est realisee a partir des conclusions de l'analyse d’impact 
sur les activites (BIA). Elle se focalise exclusivement sur les processus juges 
critiques. 

I Vocabulaire 

Dans la suite de ce chapitre, les mots processus et activites sont employes indifferemment. 

Exigences des processus critiques 

Dans la liste des ressources associees aux processus critiques (etablie normale- 
ment lors du BIA), on rep rend les differents parametres de reprise que sont les 
MTD (temps maximum d'interruption admissible), WRT (temps necessaire a la 
recuperation du travail), RTO (delai cible de recuperation des moyens de travail) 
et RPO (delai cible de recuperation des donnees). 

On y ajoute, le cas echeant, les besoins supplementaires en cas de crise. 11 s’agit 
principalement de besoins en personnel - definition de l'equipe de gestion de 
crise necessaire pour le ou les processus consideres - ainsi qu'en moyens mate- 
riels tels que : 

• un site de secours (ou des bureaux) d'ou la crise sera geree ; 

• des moyens de communication ; 

• des possibility d'acces (doubles de cles, cartes magnetiques, etc.). 

Ces points sont precises et detailles dans le chapitre 4. 

Etude des besoins 

Pour chaque processus critique, les besoins sont listes et classes en categories. 
Ce classement se revele en effet utile pour pouvoir confier l’etude des divers 
besoins a des equipes differentes. On pourra, par exemple, reprendre les catego- 
ries de besoins suivantes : 

1 . bureaux et locaux de travail ; 

2. systemes, infrastructures et locaux informatiques ; 

3. donnees et enregistrements critiques ; 

4. production industrielle et fabrication. 

La gestion de ces listes reclame un soin particulier, de maniere a suivre au plus 
pres les evolutions du terrain. 

1. Bureaux et locaux de travail 

On classe dans cette categorie les besoins concernant : 

• les locaux generaux - situation et nature (par exemple : est-il possible d’utili- 
ser une salle dans un hotel ? a quelle distance du site sinistre ? aura-t-on 
besoin d'utiliser des bureaux provisoires mobiles ?) ; 

• le mobilier de bureau et meubles divers ; 
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• les moyens de communication ; 

• les fournitures (papiers, stylos, etc.) ; 

• des locaux particulars (locaux refrigeres ou coffre fort, par exemple) ; 

• des formulaires speciaux (pour faciliter la saisie par ecrit, par exemple) ; 

• le materiel informatique de bureau (PC avec licences adequates, impriman- 
tes, etc.). 

On indiquera, quand il y a lieu, la tolerance acceptable sur ces moyens. 

2. Systemes, infrastructures et locaux informatiques 

Cette categorie comprend les besoins en termes de : 

• locaux informatiques - taille, emplacement et caracteristiques techniques ; 

• fournitures electriques necessaires ; 

• capacite de refroidissement et de filtrage de l'air ; 

• serveurs de stockage ; 

• bandotheques et robots derouleurs de bandes magnetiques ; 

• connexions pour les telecommunications, debits, taux de transfert, etc. ; 

• imprimantes specifiques et alimentation en papier associee ; 

• systemes d'exploitation, sous-systemes, bases de donnees, middleware ; 

• outils de reprise et de restauration de donnees ; 

• licences d’utilisation associees ; 

• postes de travail ; 

• PC avec licences adequates et imprimantes individuelles associees. 

La precision s'impose sur la plupart des elements de cette liste, qui doivent etre 
correctement specifies (type, version, mises a jour, niveau, etc.). Il faut en effet 
assurer une coherence et une compatibility optimales de l’ensemble. 

3. Donnees et enregistrements critiques 

En complement de la categorie precedente, il convient de considerer les besoins 
en documents, donnees et toute autre information necessaire a l’activite. 

Donnees informatiques 

Classiquement, on etudie les aspects suivants, generalement geres dans diver- 
ses entites de l'entreprise : 

• les sauvegardes informatiques (correctement effectuees sur les points de 
reprise applicative, de maniere a pouvoir etre chargees et exploitees sur le 
site de secours) ; 

• les lieux ou ces sauvegardes doivent etre conservees (hors sites) ; 

• les formats de ces sauvegardes (media, types de cassettes ou de disques, 
outils de sauvegarde, formats des enregistrements, contraintes diverses) ; 

• les regroupements logiques des elements sauvegardes (lots de cassettes 
coherents, valises regroupant ces lots, etc.) ; 
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• eventuellement, les moyens logistiques pour acheminer les sauvegardes sur 
les sites (taxi, camionnette, etc.). 

La encore, la plus grande precision est indispensable, car ces aspects ne tole- 
rent pas l’approximation. Une cassette manquante ou une sauvegarde effectuee 
a la mauvaise date provoqueraient, par exemple, l'impossibilite de restaurer les 
donnees. 

Donnees non informatisees 

Le bureau « sans papiers » etant loin d'etre generalise, il est par ailleurs indis- 
pensable de referencer tous les dossiers papiers, microfiches, disques optiques, 
etc., utilises dans l'activite de tous les jours ou vitaux en termes de conservation. 
Il faut ici prendre en compte tout ce qui est conserve sur le site, dans les 
bureaux, armoires ou en sous-sol, sans oublier les sites d'archivage. A ce pro- 
pos, une reflexion sur ce sujet peut se reveler utile pour faire evoluer la politique 
de gestion et d'entreposage de ces documents. 

4. Production industrielle et fabrication 

Bien que ces aspects se situent a la marge de cet ouvrage, citons ici les besoins 
concernant : 

• les equipements de production critiques (machines, stocks de pieces inter- 
mediaries, etc.) ; 

• les produits cruciaux a conserver en stock (produits finis, semi-finis ou matie- 
res premieres, etc.) ; 

• des locaux alternatifs permettant de fabriquer en tout ou en partie et de pour- 
suivre la production, en precisant leurs caracteristiques. 

Remarque generate 

Ces listes doivent faire I'objet d’une attention minutieuse. 

Elies doivent etre remplies et detaillees par des specialistes choisis en fonction de chaque 
cas. 

Elies evoluent au cours du temps : les tests et la maintenance du plan (voir les chapitres 
6 et 12) veilleront sur ce point a conserver leur pertinence. 

La gestion du changement dans le systeme informatique doit veiller a bien tenir a jour 
ces configurations. 

Phase 2 - Etude des options possibles pour la reprise 


Afin de repondre aux besoins de reprise exprimes, on etudie un certain nombre 
d'options envisageables. Ces options doivent etre analysees sans idees precon- 
gues sur le fait qu'elles seront finalement retenues ou pas. Il est en effet toujours 
plus interessant d'explorer toutes les solutions, sans a priori. 

Les classements permettant de structurer la demarche, dans le domaine de la 
continuite d'activite comme pour toute autre analyse, ces options peuvent une 
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fois encore etre regroupees en differentes categories. L'exclusion eventuelle 
d’une categorie, pour quelque raison que ce soit, n’interviendra que plus loin 
dans la demarche. 

Categories d'options ouvertes 

Deux classements sont proposes ici, selon que Ton considere le fournisseur de 
l'option (interne, externe, etc.) ou son degre de preparation. 

En fonction du fournisseur 

Un premier classement peut etre effectue en fonction du fournisseur de l'option. 

• Options internes : il s’agit d'options qui engagent I’entreprise avec ses pro- 
pres ressources et moyens, par exemple : un site de bureaux de secours 
appartenant a l'entreprise. Le fournisseur est done interne a l’entreprise. 

• Options contractuelles aupres de fournisseurs : dans ce cas, on fait appel a 
un fournisseur externe avec lequel un contrat a ete conclu. Sur ce point, on 
peut noter le developpement d’accords d’un type particulier : les accords de 
reciprocity entre confreres. 

• Options impliquant des employes : e’est un cas particulier a etudier, impli- 
quant les employes de l'entreprise (les employes peuvent travailler depuis 
leur domicile par exemple). Il vaut mieux avoir prevu ce cas de figure dans les 
accords d'entreprise ou, eventuellement, dans le contrat de travail. Le 
« fournisseur » est alors d'un type un peu particulier, puisqu'il s'agit de 
l'employe. Si cet employe est un prestataire, on pourra se reporter au cas pre- 
cedent (fournisseur externe). 

En fonction du degre de preparation 

On peut egalement classer les differentes options en fonction de leur niveau de 
preparation et, par consequent, de leur rapidite de mise a disposition. 

• Options toutes pretes : tout est pret pour prendre le relais en cas de sinistre, 
les divers moyens sont disponibles, reserves et a jour. C’est en general une 
option rapide a mettre en oeuvre, mais coflteuse. 

• Options prevues : un accord a ete passe avec un fournisseur ou un autre site 
de l'entreprise pour que les moyens soient mis a disposition dans un delai 
convenu. C'est souvent le cas dans les situations contractuelles avec une 
entreprise de secours ou dans les accords de reciprocity avec des confreres, 
par exemple. Pour cette option, les delais de mise en oeuvre sont d'ordre 
moyen. 

• Options au cas par cas : rien de particulier n'est prevu a priori, mais on sait 
que, si le besoin se fait sentir, on y repondra par une action particuliere en 
interne ou une commande en externe. Rien n'empeche d'ailleurs de preparer 
cette commande. C'est en general l'option la moins coflteuse, mais aussi la 
moins sflre. 
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De fagon similaire, on classera aussi les moyens informatiques selon leur degre 
de preparation operationnelle. Traditionnellement, on parle alors de moyens de 
secours afroid (peu prepares), tiedes (prepares) ou chauds (prets a l’usage). 

Ventilation des options selon les categories 

Le tableau suivant donne un exemple de ventilation des categories d'options 
retenues. 


Tableau 3-1 : Ventilation des options retenues dans les differentes categories 



Interne 

Externe 

Employes 

Froid 

Site precable a 200 km 

Non retenu 

Travail a domicile 

Tiede 

Site de developpement activable 

Contrat avec une 
societe d'infogerance 
pour les serveurs 
Unix 

PC preequipe a 
domicile 

Chaud 

Non retenu 

Contrat de haute 
disponibilite sur les 
applications X etY 

Non retenu 


On constate dans cet exemple que les solutions froides retenues ne font pas 
l'objet de contrats sur le marche et que seule la solution chaude est realisee 
avec un prestataire externe. 

L'elaboration de tableaux de ce type permet la discussion et la prise de decision 
durant les reunions de suivi. 

Options envisagees 

En fonction des besoins exprimes et des categories d'options definies prece- 
demment, il devient possible de lister et d'analyser les options les plus suscep- 
tibles de donner satisfaction. Encore une fois, cela consiste a se livrer a un 
exercice d’imagination des solutions qui pourraient convenir. Il ne s’agit pas 
pour autant de rever et de s’eloigner de la realite technologique et financiere : 
les avantages et inconvenients des options listees seront juges plus loin 
(phase 3). 

On adoptera la meme segmentation que pour l’expression des besoins : 

1 . bureaux et locaux de travail ; 

2. systemes, infrastructures et locaux informatiques ; 

3. donnees et enregistrements critiques ; 

4. production industrielle et fabrication. 
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1. Bureaux et locaux de travail 

Le tableau ci-apres donne un exemple d’options envisageables qui seront etu- 
diees pour les locaux et bureaux, classees en fonction de leur fournisseur. 


Tableau 3-2 : Options pour les locaux et bureaux 


Locaux et bureaux 

Categorie 

Option 

Description 

Solution contractuelle 
avec fournisseur externe 

Site mobile 

Site mobile de secours livre en un 
lieu prevu, et en general preequipe 
en mobilier, telephones et postes 
de travail. 

Salles de reunion d'hotel 

Hotel prevu a I'avance. 

Site fixe 

Site de secours en un lieu donne, 
propose en tant que service par un 
prestataire, egalement preequipe. 

Solution interne 
a I'entreprise 

Autre site de I'entreprise 

Site de secours dormant ou pas, 
preequipe ou non. 

Recours a I'employe 

Travail a la maison 

L’employe travaille depuis son 
domicile et peut eventuellement 
acceder au systeme informatique, 
telephonique, etc. 


2. Systemes, infrastructures et locaux informatiques 

De meme, le tableau suivant traite des options concernant les sites informati- 
ques de secours, plus ou moins equipes des materiels et systemes necessaires. 
Ces options sont ici encore classees en fonction de leur fournisseur (interne, 
accord externe, offre commerciale). La description des sites doit correspondre 
au plus pres a une realite constatee et/ou realisable. 
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Tableau 3-3 : Options pour les sites informatiques 


Sites informatiques de secours 

Categorie 

Option 

Description 

En toute propriete 

Site distant appartenant 
a la societe 

Site de secours de la societe, en un 
lieu determine prevu et en partie 
prepare. 

Site mobile 

Site mobile de secours livre en un 
lieu prevu, en general preequipe en 
mobilier, telephones, postes de 
travail ou serveurs, reseaux, etc. 

Accord avec un tiers 

Accord de reciprocity 
avec un confrere 

Chacun reserve de la place a I'autre 
en cas de sinistre. 

Offre commerciale 

Site dedie 
(offre du marche) 

Site de secours dedie, propose en 
tant que service par un prestataire, 
plus ou moins preequipe. 

Site partage 
(offre du marche) 

Site de secours partage, propose en 
tant que service par un prestataire, 
plus ou moins preequipe. 


On peut aussi constituer d’autres tableaux abordant un sujet specifique pour 
lequel une decision s’impose, comme le niveau de preparation des sites (voir le 
tableau ci-apres). 


Tableau 3-4 : Niveaux de preparation possibles pour les sites informatiques de secours 


Sites informatiques de secours 

Categorie 

Option 

Description 

Non prepare 

Site froid 

Site de secours non equipe en materiel 
informatique mais disposant de moyens 
pour en accueillir (alimentations 
electriques, air conditionne, chauffage, eau, 
sprinklers, lignes telecoms, faux-planchers et 
passage de cables, etc.). 

Prevu 

Site tiede 

Site de secours deja equipe de certains 
moyens informatiques necessaires, mais pas 
de tous, necessitant done d'etre complete 
dans un certain delai ; demande une 
preparation. 

Pret a I'emploi 

Site chaud 

Site de secours dont I'equipement est tres 
proche de celui du site a secourir. 


Pour chaque option envisagee, on peut presenter les niveaux que l’on souhaite 
etudier (froid, tiede, chaud). 
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3. Donnees et enregistrements critiques 

En ce qui concerne les donnees et enregistrements critiques, une attention par- 
ticuliere doit etre portee a la capacite a reconstruire les donnees operationnel- 
les. Pour plus de precision sur les aspects techniques, on se reportera a la 
Partie III de cet ouvrage. 


Tableau 3-5 : Options pour les donnees critiques 


Donnees critiques 

Categorie 

Option 

Description (voir Partie III) 

Frequence des 
sauvegardes 

Continu 

Sauvegarde en continu par 
replication a distance 

Quelques minutes 

Cliche (snapshot) toutes les 3 
minutes, par exemple (stockage en 
resea u NAS) 

Jour 

Sauvegarde une fois par jour 

Semaine 

Sauvegarde une fois par semaine 

Mois 

Sauvegarde une fois par mois 

Type de sauvegarde 

Complete 

Complete, sur tous les fichiers 

Incrementielle 

Uniquement ce qui a ete modifie 
depuis la sauvegarde precedente 

Differentielle 

Uniquement ce qui a change depuis 
la derniere sauvegarde complete 

Technologie de 
sauvegarde 

Miroir distant (remote 
mirroring) 

Copie de disque a disque, par 
controleur, par exemple 

Propagation de log de 
SCBD 

Le systeme de gestion de base de 
donnees propage son journal sur un 
site distant 

Bandes 

Copie sur bandes stockees hors site 


Afin de faciliter la prise de decision, il est egalement possible de mentionner les 
avantages et les inconvenients de chaque option. On se reportera au chapitre 8 
pour plus de precision sur ces points. 

Enfin, cette analyse ne doit pas omettre les dossiers non informatiques que Ton 
peut dupliquer, mettre dans des armoires ignifuges ou conserver en double sur 
deux sites, par exemple. 

4. Production industrielle et fabrication 

Pour la production et la fabrication industrielles, la encore, de nombreuses solu- 
tions sont susceptibles d'etre proposees a l'etude. 
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Tableau 3-6 : Options pour les equipements de production 


Equipements et ressources critiques de production 

Categorie 

Option 

Description 

A acquerir quand le 
besoin apparaTt 

Acquisition de I'equipement 

L'equipement est acquis lorsque le 
sinistre a lieu. 

Acquisition des pieces 
detachees 

Acquisition des pieces en fonction 
des besoins apres le sinistre 

Preetabli 

Contrat de service pour le 
sauvetage et la restauration 

Contrat pour sauver et restaurer 
tous les equipements endommages, 
souscrit, avant le sinistre, aupres 
d'un fournisseur externe. 

Maintien d'un stock de 
secours pour les pieces 
critiques sur un site distant 

Le stock de pieces critiques est 
maintenu sur un site de secours a 
distance avant le sinistre. 

Maintien d'equipements de 
secours pour les equipements 
critiques, sur un site distant 

Les equipements critiques sont 
maintenus sur un site de secours a 
distance avant le sinistre. 

Stock de secours de 
matieres premieres 

Maintien dans un entrepot de 
secours des stocks de 
matieres premieres ou 
produits intermediates 
necessaires durant la reprise 

Ces materiels et produits sont 
stockes a I'avance sur un site 
distant. 

Site de production 
alternate 

Utilisation d'un site distant 
de la societe, vide 

Site equipe de certains moyens : 
alimentations electriques, 
chauffage, sprinklers, air 
conditionne, etc. 

Reparation, reconstruction du 
site sinistre 

Le site endommage est reconstruit 
ou repare, totalement ou 
partiellement. 


Comme dans les autres analyses, un compromis est etabli entre ce qui est sou- 
haitable et ce qui est realisable. 


Phase 3 - Confrontation des options aux exigences metier 


Une fois toutes les options possibles passees en revue, celles-ci devront etre 
confrontees aux exigences de chaque activite, telles qu'elles ont ete definies 
dans l’analyse d'impact (BIA). En eliminant les options non compatibles avec les 
besoins exprimes, notamment en termes de delais, cette phase permet de pro- 
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ceder a une premiere selection, avant d'effectuer une evaluation multicritere 
(cout/faisabilite). 

Cette confrontation se fait en deux etapes. 

1 . Les options listees precedemment sont passees en revue pour determiner 
leur rapidite de mise en oeuvre ou « delai d'activation » en cas de sinistre. 

2. Ce delai de mise en oeuvre est alors compare aux besoins emis par les 
metiers sur leurs activites critiques, permettant ainsi de retenir les options 
donnant satisfaction. 

Definition des delais d'activation 

Cet aspect est fondamental car, en cas de sinistre et d'activation de l'option con- 
sideree, il convient de se conformer aux exigences de delai imposees alors que 
le chronometre court. 

Les options listees precedemment sont etudiees afin de mettre a jour les diver- 
ses preoccupations ou problemes de realisation potentiels, ce qui permet 
d’aboutir, pour chacune d'entre elles, a revaluation de leur EAT (Expected Availabi- 
lity Time ) ou « delai moyen d'activation ». 

En effet, si ce delai moyen d’activation est superieur aux exigences metier, cela 
necessitera de revoir l’option, en l’eliminant ou en l'ameliorant. 

Par souci de coherence, la meme segmentation que lors des autres phases est 
retenue pour etudier les differents parametres d'activation des options. 

1. Bureaux et locaux de travail 

Le tableau ci-apres presente, pour les options citees en exemple, les obstacles 
principaux a une mise a disposition rapide. 


Tableau 3-7 : Difficultes previsibles pour chaque option envisagee 


Locaux et bureaux 

Categorie 

Option 

Preoccupations ou problemes potentiels 

Solution contractuelle 
avec fournisseur 
externe 

Site mobile 

Distance a parcourir, conditions de 
circulation (meteo, trafic), encombrements 
pour un convoi exceptionnel. 

Salles de reunion 
d'hotel 

Si le sinistre est regional, tous les hotels sont 
pris ou sinistres. 

Site fixe 

Distance, conditions de circulation et 
d'acces. 

Solution interne a 
I'entreprise 

Autre site de 
I'entreprise 

Idem, en ajoutant les causes communes 
(par exemple, les greves). 

Recours a I'employe 

Travail a la maison 

Difficultes de mise en place de la solution 
technique pour les employes et la securite. 
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II est aussi interessant d'etudier d’autres aspects, tels que ceux lies au degre de 
preparation operationnelle ou a l’ouverture des locaux et bureaux de secours, 
ainsi que du centre de crise (voir le chapitre 4). 

Tableau 3-8 : Difficultes a envisager pour la preparation des locaux, bureaux 
et centre de crise 


Locaux, bureaux et centre de crise 

Categorie 

Option 

Preoccupations ou problemes potentiels 


Site froid 

Preparer le site, le configurer, installer, 
connecter, etc. Les taches peuvent s’averer 
tres longues. 

Niveau de preparation 
operationnelle 

Site tiede 

Les complements, les parametrages et les 
connexions peuvent prendre du temps 
(1 jour?). 


Site chaud 

Normalement disponible rapidement si c'est 
bien gere (quelques heures). 


I Remarque : disponibilite des sites 

Le centre de crise (voir le chapitre 4) est encore plus sensible que les autres types de 
locaux. II doit etre ouvert le premier. 


Tableau 3-9 : Preoccupations lors du declenchement 


Locaux, bureaux et centre de crise 

Categorie 

Option Preoccupations ou problemes potentiels 

Methode de recours 

Preetabli 

Normalement c'est une solution preparee 
done rapide. Attention aux evolutions non 
reportees. II faudra faire des tests. 

Prearrange 

Bien, si les engagements sonttenus. Prevoir 
du temps et des ressources humaines 
aguerries pour les installations, 
configurations, parametrages, etc. 

Cas par cas 

Selon les circonstances et types de besoins, 
les ressources peuvent mettre du temps a se 
mettre en place. A reserver au materiel 
standard ? 


2. Systemes, infrastructures et locaux informatiques 

Pour les options concernant les sites informatiques de secours, plus ou moins 
equipes des materiels et systemes necessaries, on s’attachera a des preoccupa- 
tions telles que celles presentees dans les tableaux ci-apres. Les difficultes men- 
tionnees doivent permettre rapidement de retenir ou d'eliminer une option. 
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Tableau 3-10 : Difficultes previsibles pour chaque option envisagee 


Materiel sur les sites informatiques de secours 

Categorie 

Option 

Preoccupations et delais 

En toute propriete 

Site distant appartenant 
a la societe 

La distance du site, I'etat des routes, 
le temps pour y aller peuvent avoir 
un effet sur les delais. 

Site mobile 

Idem, en ajoutant les connexions 
reseau a effectuer. 

Accord avec un tiers 

Accord de reciprocity 
avec un confrere 

Les delais dependent ici de la 
preparation ou non du site, de la 
reaction du partenaire (qui peut, 
dans les cas extremes, avoir lui- 
meme subi un sinistre), de la 
distance et de I'etat des routes, etc. 

Offre commerciale 

Site dedie (offre du marche) 

La distance, le besoin de personnel 
sur place influencent les delais. 

Site partage 
(offre du marche) 

Site utilise en totality ou en partie, 
consequences de I'occupation par 
d'autres clients, eloignement et 
facility d'acces. 


Tableau 3-11 : Difficultes a considerer pour la preparation des sites de secours 


Materiels sur le site de secours 

Categorie 

Option 

Preoccupations et delais 

Niveau de preparation 
operationnelle 

Site froid 

II faut equiper le site : problemes 
d'acquisition d'equipements, de 
demarrage, d'installations diverses, 
de parametrages, qui peuvent aller 
jusqu'a 7 jours. 

Site tiede 

Les equipements supplemental 
et les installations puis les 
parametrages peuvent prendre de 
1 jour a 5 jours. 

Site chaud 

Normalement disponible 
rapidement (de 15 minutes a 
quelques heures). 


3. Donnees et enregistrements critiques 

En ce qui concerne les donnees et enregistrements critiques, une attention par- 
ticuliere sera portee a la rapidite de reconstruction des donnees operationnel- 
les. Rappelons que les moyens techniques utilises sont expliques plus en detail 
dans la partie III. 
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Tableau 3-12 : Caracteristiques et delais pour chaque option concernant les donnees critiques 


Donnees critiques 

Categorie 

Option Problematique et delais 

Frequence des 
sauvegardes 

Continu 

Convient aux RPO courts (quelques heures). 

Quelques minutes 

RPO de quelques minutes. 

Jour 

RPO = 1 jour. 

Semaine 

RPO = une semaine. 

Mois 

RPO = un mois. 

Type de 
sauvegarde 

Complete 

Demande peu de bandes et peu de temps 
pour restaurer. 

Incrementielle 

Demande le plus de bandes et de temps 
pour restaurer. 

Differentielle 

Entre les deux precedents. 

Technologie de 
sauvegarde 

Miroir distant 
(remote mirroring) 

Peut permettre des RTO et RPO voisins de 
zero, si complet. 

Routage de transactions 

Idem, avec retour en arriere possible. 

Grappe ( clustei ) a 
distance campus et SAN 

Typiquement : RTO < 30 minutes 
et RPO < 8 heures. 

Propagation de log 
deSGBD 

Depend du traitementde la log sur site 
distant ; dans les meilleurs cas : RPO 
et RTO < 30 minutes. 

Bandes 

Bandes proches ou non du lieu de 
restauration ; selon le temps 
d’acheminement, RPO et RTO se comptent 
en jours. 

Site de stockage 
distant 

Site commercial 

Considerer la distance et I’accessibilite, le 
rangement des bandes, la facilite a les 
regrouper et a les retrouver rapidement, 
delais pour prevenir le fournisseur. 

Site interne 

Idem, en ajoutant les competences en local 
ou a deplacer. 


Sur tous ces points, le chiffrage devra etre precis et valide par les hommes de 
l'art. L'enjeu consiste ici k detecter les points a problemes, qui peuvent se reve- 
ler bloquants ou, au contraire, a susciter une amelioration. 

II faut aussi noter que la plupart du temps plusieurs solutions cohabiteront et 
que, pour une activite donnee de l’entreprise, c'est la plus penalisante qui sera 
ressentie au final par les usagers. 

La encore, les donnees papier ou enregistrees sur disque optique numerique 
(DON) feront 1'objet d’une consideration particuliere. 
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4. Production industrielle et fabrication 

Enfin, void un exemple de preoccupations concernant les solutions envisagea- 
bles pour les moyens de production de l'entreprise. 


Tableau 3-13 : Difficultes previsibles pour chaque option envisagee 


Equipements et ressources critiques de production 

Categorie 

Option 

Preoccupations et delais 

Aacquerirquand 
le besoin apparaTt 

Acquisition de 
I'equipement 

Si I'equipement n'est pas disponible et pas 
standard, il faudra attendre (des mois) ou 
sinon 1 1 acquerir a I'avance et I’entreposer. 

Acquisition des pieces 
detachees 

Les pieces de rechange ont-elles ete 
reservees par le fabricant pour la 
maintenance ? Sont-elles accessibles ? 
Sinon : refabrication, done delais eleves. 

Pre-etabli 

Contrat de service pour le 
sauvetage et la 
restauration 

Difficultes de mise en oeuvre du contrat 
dues a des effets collateraux du sinistre 
(incendie rendant les locaux inaccessibles, 
emanations toxiques). 

Maintien d'un stock de 
secours pour les pieces 
critiques sur un site 
distant 

Le temps de recuperation depend de la 
distance, de I'etat des transports, de 
I'emballage des pieces et de la logistique. 

Maintien d’equipements 
de secours pour les 
equipements critiques, 
sur un site distant 

Idem, en ajoutant les competences 
necessaires pour maintenir ces equipements 
en etat et redemarrer. 

Stock de secours 
de matieres 
premieres 

Maintien dans un 
entrepot de secours des 
stocks de matieres 
premieres ou produits 
intermediates 
necessaires durant la 
reprise 

Le temps de recuperation depend de la 
distance, de I'etat des transports, de 
I'emballage des matieres et de la logistique. 
Les produits finis stockes peuvent-ils etre 
expedies au client depuis le site de secours 
sans impact pour les clients ? 

Site de 

production 

alternatif 

Utilisation d’un site 
distant de la societe, vide 

Attention au degre de preparation du site. 

Reparation, 
reconstruction du site 
sinistre sur place 

Delais dependant du temps a evaluer les 
dommages, a monter le dossier assurance, a 
evaluer les reparations et a les declencher 
avec les contrats adequats, tout en 
respectant les consignes de securite. 


Les defauts ou faiblesses constates peuvent conduire a rechercher ['amelioration 
des offres dont l'entreprise dispose sur le marche. Ils necessitent souvent des 
ajustements dans les options, qui se traduisent par une revision des contrats. 
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Comparaison aux exigences et selection des options 

Une fois le delai moyen d'activation determine, celui-ci est compare aux besoins 
chiffres precedemment par les differents parametres de reprise : MTD, RTO, RPO 
et WRT. Cette comparaison permet de selectionner les options les mieux 
adaptees ; les options non convenables sont alors eliminees. Notons que, dans 
certains cas, les options sont reetudiees dans le but d'accelerer ou de faciliter 
leur activation. Les autres options, elles, sont retenues et passees au crible de 
l'etude de faisabilite et cout faisant 1'objet de la phase 4. 

Le tableau suivant donne, a titre d'exemple, la liste des options precedentes qui 
sont ici eliminees, en precisant la raison de cette elimination. 


Tableau 3-14 : Options eliminees pour les locaux et bureaux ( 1 ) 


Locaux et bureaux 

Categorie 

Option 

Raison de non-selection 

Solution contractuelle 
avec fournisseur externe 

Site mobile 

La distance a parcourir, les conditions de 
circulation (meteo, trafic), les 
encombrements pour un convoi 
exceptionnel sont redhibitoires. 

Activation 

Cas par cas 

Selon les circonstances et le type de besoins, 
les ressources peuvent prendre trap de 
temps a etre mises en place. 

Niveau de preparation 

Site froid 

Les taches de preparation du site, de 
configuration, d'installation, de connexion, 
etc., peuvent etre tres longues. 


Tableau 3-15 : Options eliminees pour les sites informatiques de secours (2) 


Sites informatiques de secours 

Categorie 

Option 

Raison de non-selection 

En toute propriety 

Site mobile 

Sur routes surcharges, cette solution est 
impossible a realiser, sans parler des 
difficultes de connexions reseaux a 
effectuer. 

Offre commerciale 

Site partage 
(offre du marche) 

Le site peut etre utilise en totalite ou en 
partie, I'occupation pard'autres clients, 
i'eloignement et la difficulte d'acces 
rendent cette option trap incertaine. 

Niveau de preparation 

Site froid 

II faut equiper le site : problemes 
d'acquisition d'equipements, de demarrage, 
d'installations diverses, de parametrages ; 
cela peut aller jusqu'a 7 jours voire plus. 
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Tableau 1-16 : Options eliminees pour les donnees critiques (3) 


Donnees critiques 

Categorie 

Option 

Raison de non-selection 

Frequence des 
sauvegardes 

Mois 

RPO = un mois. Delai trap long, 
meme pour les applications peu 
exigeantes. 

Type de sauvegarde 

Incrementielle 

Demande le plus de bandes et de 
temps pour restaurer. 

Technologie de 
sauvegarde 

Routage de transactions 

Technologie non maTtrisee en 
interne. 

Grappe ( cluster ) a 
distance campus et SAN 

Technologie non conforme a 
I'architecture choisie. 


Tableau 3-17 : Options eliminees pour les equipements de production (4) 


Equipements et ressources critiques de production 

Categorie 

Option 

Raison de non-selection 

Aacquerirquand le 
besoin apparaTt 

Acquisition de 
I'equipement 

Si I'equipement n'est pas 
disponible et pas standard, il 
faudra attendre (des mois) sinon 
I'acquerir a I'avance et 
I'entreposer. 

Preetabli 

Contrat de service pour 
le sauvetage et la 
restauration 

Difficultes de mise en oeuvre du 
contrat dues a des effets 
collateraux du sinistre (incendie 
rendant les locaux inaccessibles, 
emanations toxiques...). 

Site de production 
alternatif 

Reparation, 
reconstruction du site 
sinistre sur place 

Delais trap longs en raison du 
temps necessaire a evaluer les 
dommages, a monter le dossier 
assurance, a evaluer les 
reparations et a les declencher 
avec les contrats adequats, tout en 
respectant les consignes de 
securite. 


Phase 4 - Etude de cout et Faisabilite 


Certaines options ont ete eliminees en phase precedente. Les autres, apres 
quelques amenagements, ont ete retenues et font maintenant l'objet d'une 
etude devaluation. Elle se deroule classiquement en trois etapes : 
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1 . la determination des criteres pour l'evaluation ; 

2. le chiffrage des options selon les criteres ; 

3. les ponderations et choix d'options. 

Enfln, une proposition de choix est realisee pour la phase 5. 

Criteres devaluation 

Ces criteres doivent etre appropries au probleme aborde. Concretement, on aura 
souvent besoin d'evaluer les options sur les points suivants : 

• la facilite ou difficulte de mise en place de l'option, en fonction des efforts 
de realisation et des investissements demandes ; 

• la facilite ou difficulte d’activation de l’option (une fois en place) - en effet, 
l'effort d’activation (au moment du sinistre ou au moment des tests) peut etre 
important et dissuasif ; 

• le cout de la mise en place (une fois, puis recurrent), en tenant compte des 
divers parametres ; 

• le cout de l’activation (la encore, pour une activation reelle ou lors des 
tests) ; 

• le niveau de qualite permis par l'option - certaines options de type « mode 
degrade » peuvent en effet etre acceptables lors d'un sinistre pour certaines 
activites, mais pas pour d'autres ; 

• la securite inherente a l'option - l'option ne doit pas representer une breche 
beante en securite ; tout risque sur ce point doit etre documents afin de fixer 
les limites acceptables ; 

• la maitrise ou le controle operationnels sur l'option - il est possible qu une 
dependance de tiers trop forte sur certaines applications sensibles soit 
inacceptable ; 

• la maitrise technique sur l'option - la encore, l'absence de competences en 
interne ou la dependance trop forte de competences externes peuvent etre 
considerees comme redhibitoires. 

Pour une bonne lisibilite et afin de faciliter la decision, on se fixera un nombre 
limite de criteres (pas plus de cinq, par exemple). 

Chiffrage des options 

Une fois les criteres definis, ils sont evalues pour chaque option retenue. Cela 
peut se faire par une note de 0 (mauvais) a 3 (tres bon), comme l'illustre le 
tableau ci-apres. 
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Tableau 3-18 : Evaluation des options sur des criteres d'effort, de qualite, de maitrise, de couts 
et de securite 


Materiels sur site de secours (0 = defavorable a 3 = tres favorable) 

Categorie 

Option Effort 

Qualite Mattrise Couts 

Securite 

En toute 
propriete 

Site distant 

1 

3 

3 

2 

3 

Accord 
avec un tiers 

Accord de 
reciprocity avec 
confrere 

2 

2 

1 

3 

1 

Offre 

commerciale 

Site dedie 

3 

3 

2 

1 

3 

Niveau de 
preparation 

Site tiede 

2 

2 

2 

2 

2 

Site chaud 

3 

3 

2 

1 

3 


Ce travail de chiffrage est a effectuer sur toutes les options qui ont ete retenues 
jusque-lh. II peut etre demande a plusieurs personnes responsables dans des 
services differents et fera l'objet de discussions et d'iterations jusqu'a obtention 
d’une vision partagee. En general, ce chiffrage s'appuie sur des donnees factuel- 
les et ne devrait pas provoquer trop de divergences de point de vue. 

On peut ne pas discuter a ce stade de l’importance des differents criteres. Cela 
permet de scinder 1’approche en deux parties : une qui se concentre sur le choix 
des criteres, et l’autre qui se focalise sur leur evaluation. 

Selection d'options 

Les differents criteres sont alors ponderes et les options les mieux notees rete- 
nues. 

Considerons l'exemple precedent concernant le site de secours informatique : 

• Dans 1’hypothese oh seuls comptent 1’effort et la securite (et done pas le coflt, 
ni la mattrise, ni la qualite), alors le choix se portera sur les deux options 
suivantes : 

- Offre Commerciale / Site dedie 

- Niveau de preparation / Site chaud 

• Si, en revanche, le cout et la mattrise sont mis en avant, alors le choix se fera 
sur le site distant en toute propriete. 

Toute ponderation de l'ensemble des criteres est bien evidemment possible et 
on obtient, a la fin de cette etape, une liste d'options retenues. 
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Phase 5 - Mise au point de la strategie de continuite 


Une reunion de validation peut etre organisee pour avaliser les decisions ou 
pour les cibler d'avantage lorsque le nombre d'options ouvertes est eleve. 
L’ensemble de la strategie de continuite peut alors etre documents dans un rap- 
port d' etude, qui peut se structurer comme suit : 


Strategie de continuite 

1. Besoins de reprise 

1.1. Introduction, rappel du contexte BIA, cadrage 

1.2. Exigences des processus critiques 

1.3. Besoins pour la reprise 

a. Segmentation (bureaux, locaux IT, donnees, autre) 

b. Besoins en fonction de cette segmentation 

c. Besoins communs 

2. Options possibles 

2.1. Categories d'options a etudier (internes, contractuelles, etc.) 

2.2. Options envisagees, en fonction de la segmentation 

2.3. Options eliminees et raisons de I'elimination 

3. Confrontation aux exigences metier 

3.1. Delais d'activation 

3.2. Comparaison avec les besoins des metiers 

3.3. Options retenues avec argumentation 

4. Etude de cout et faisabilite 

4.1. Criteres retenus 

4.2. Chiffrage des options en fonction des criteres 

4.3. Ponderation et selection des options 

5. Compte rendu de la reunion de decision 


L’ensemble de ces elements, elabores tout au long de T etude decrite dans ce 
chapitre, est conserve dans un systeme documentaire. On pourra ainsi s'y repor- 
ter pour comprendre les decisions strategiques qui ont ete enterinees, en con- 
sultant le detail des attendus ou hypotheses qui ont conduit k ces decisions. 
Cela permet par ailleurs de verifier si ces hypotheses sont encore valables ou 
non. Enfin, les auditeurs pourront facilement le consulter (voir le chapitre 13). 



Cpartie 



L’entreprise 
elabore son plan 
de continuity 


Le plan de continuite d'activite (PCA) fixe les directives a suivre par l'entreprise 
en cas de sinistre dans le but d'en minimiser les impacts sur son activite. 

La realisation d’un PCA s'inscrit dans le contexte decrit dans la premiere partie. 
Dans un premier temps, l'entreprise realise une analyse des risques encourus et 
determine differentes options pour y faire face (chapitre 1), puis elle en evalue 
les impacts residuels sur ses activites critiques (chapitre 2) pour definir enfin 
une strategic de reponse en cas de sinistre (chapitre 3). La realisation du PCA 
s'inscrit logiquement dans cette demarche. 

• Pour qu'un plan de continuite soit efficace, l'entreprise doit tout d'abord 
organiser la reponse apportee au sinistre en definissant les responsabilites 
de reaction en son sein, c'est l’objet du chapitre 4. 

• Elle doit ensuite prevoir le deroulement des activites et travaux a mener en 
fonction de sa strategie et realiser a cet effet un planning guide, comme indi- 
que dans le chapitre 5. 

• Enfin, pour assurer la viabilite du PCA, elle doit assurer sa maintenance en le 
testant regulierement : les tests sont developpes dans le chapitre 6. 



Chapitre 4 


PCA : deFinir 
les missions 
et les responsables 

Cruciale dans toute activite humaine organisee, la definition des missions et de 
leurs responsables revet une importance accrue dans un contexte de sinistre et 
de risque. Certains specialistes americains de la continuite d’activite vont meme 
jusqu'a considerer que, une fois les missions et les responsabilites definies, 
1'essentiel du PCA est en place, le reste n'etant alors plus que de l'intendance. 
Aujourd'hui, l'approche la plus pragmatique et efficace que Ton puisse adopter 
consiste a aborder le probleme sous deux angles : d'une part, les missions et les 
objectifs a atteindre et, d’autre part, les activites a mener pas a pas. 

Les missions et leurs responsables sont presentes dans ce chapitre, tandis que 
les activites sont detaillees dans le chapitre suivant. 


Cadraqe du plan de continuite 


Pour toute action d'envergure, il est essentiel de bien specifier le contexte des 
activites a mener. N'oublions pas la finalite premiere du plan de continuite : il 
est destine avant tout aux personnes chargees de reagir en cas de sinistre. Il doit 
done etre lisible pour permettre trbs rapidement de situer les choses, de com- 
prendre le role de chaque intervenant et de prendre les bonnes decisions. 

Definition du sinistre 

Une definition claire du sinistre permet k ce stade de decider s'il faut ou non 
declencher le plan de continuite. En effet, des actions plus simples, telles que le 
recours k une procedure de gestion d'incidents, ou l’appel a un service d'assis- 
tance (help desk ) ou un support technique, sont egalement envisageables avant 
de recourir au PCA. 

Pour cela, 1'entreprise doit mettre au point sa propre classification des sinistres. 
En general, on a recours a un classement en plusieurs niveaux. En voici un 
exemple, definissant trois niveaux de sinistre. 


O 


Management de la continuite d’activite 


Sinistre mineur 

En termes de probability, le sinistre mineur est l'evenement le plus frequent, 
tout en ne concernant qu’un sous-ensemble reduit de processus critiques de 
l'entreprise. Ainsi, il ne bloque pas completement les entites metier ayant 
besoin de ces processus et celles-ci peuvent continuer a travailler pendant un 
certain temps. 

Ce type de sinistre est cause le plus souvent par une defaillance simple d'un 
constituant : pannes de disques sur des serveurs de donnees, coupures de cou- 
rant limitees a certains batiments, etc. 

La tendance actuelle montre une diminution des situations dans lesquelles un 
tel sinistre se presente ; autrement dit, les actions a mener en cas de sinistre 
mineur sont quasi banalisees, amoindrissant son impact reel. Le chapitre 7 pre- 
cise ces aspects. 

Sinistre intermediaire ou moyen 

Ce type de sinistre est plus rare, mais il a un impact plus consequent sur les acti- 
vity critiques de la societe. En effet, cet evenement arrete 1'activite normale de 
quelques entites metier jugees critiques dans l'entreprise, sans pour autant 
mettre a mal toutes les entites critiques. 

La cause de ce sinistre est souvent une combinaison de plusieurs pannes ou une 
panne generate (voir le chapitre 7) entrafnant l’arret de plusieurs systemes ou 
equipements. Il s'agit par exemple d'une fuite d'eau en salle des machines, d'un 
ecroulement partiel de batiment abritant des machines importantes, etc. 

Les evolutions actuelles ont tendance a considerer que c’est ce type de sinistre 
qui doit etre teste en premier lors de simulations en situation reelle (voir le cha- 
pitre 6). 

Sinistre grave ou majeur 

Ce type de sinistre est moins frequent, mais ses consequences sont d'autant 
plus nefastes. En effet, le sinistre grave ou majeur cause l'arret de pratiquement 
tous les processus metier critiques. 

Il a pour origine la disparition ou la panne de la majorite des equipements et 
systemes, ou tout evenement susceptible de rendre les locaux inaccessibles 
(incendies importants, tremblements de terre, tempetes, attentats, fuites de gaz, 
etc.). Le plus souvent, lorsque ce type de sinistre se produit, l'entreprise n'est 
pas la seule victime. 

Objectifs du plan 

L'objectif du plan de continuite est de reduire a un niveau acceptable les conse- 
quences d'un sinistre en mettant en oeuvre des procedures predefinies. 

Ces procedures, manuelles ou automatisees, concernent aussi bien la mise en 
securite des personnes et des biens, la recuperation (de moyens, de capacite, de 
donnees, de personnel) que la continuite pure et simple (passage sur un site de 
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secours). Les processus metier critiques de l'entreprise identifies lors de l'ana- 
lyse d’impact (voir le chapitre 2) sont concernes en priority. 

Ainsi, lors d’un sinistre, il doit etre facile - tout du moins c'est un objectif - de 
savoir quels sont les processus metier touches et oh sont les procedures de 
recuperation et de continuity ; les equipes d' intervention vont en effet en avoir 
besoin. 

Dans ce sens, il se developpe actuellement sur le marche des offres de services 
permettant d'acceder via le reseau a un site web stockant ces documents, a par- 
tir d’un portable ou d'un Smartphone. Cela peut se reveler utile dans les cas ou 
la documentation papier du plan de continuity se trouve sous les gravats, les 
serveurs de l'entreprise perdus, tandis que le reseau mobile est demeure intact. 

Peri metre et exclusions 

Il est primordial de delimiter le champ d’action du plan et d'en prevoir un decou- 
page adapte a son execution. En general, chaque site important possede son 
propre plan. 

Le lecteur de ce plan doit y trouver aisement les donnees concernant son site, et 
uniquement cela, afin de ne pas parasiter la lecture. Au sujet des autres sites, 
seules les informations ayant des similitudes ou des relations importantes avec 
le site sinistre seront retenues. 

Le perimetre doit determiner en priority : 

• le centre de gestion de crise ou transmettre 1' information ; 

• les sites de la societe (couverts ou non) ; 

• les entites metier concernees ; 

• les partenaires metier (prestataires, clients et fournisseurs) ; 

• les sites de secours pour les bureaux, l'informatique ou les machines ; 

• les sites d'archivage ou de stockage distants ; 

• les fournisseurs a impliquer en cas de sinistre (pour les mesures de secours 
informatique) ; 

• les autorites locales (pompiers, security civile, hopital, Samu, etc.). 

En outre, il doit fournir une liste de tout element permettant de delimiter le 
champ d' action a l’interieur comme a 1'exterieur de l'entreprise, notamment les 
parametres de reaction : 

• la duree maximale attendue pour les operations de recuperation et de 
redemarrage ; 

• les evenements types susceptibles de declencher le plan de continuity ; 

• les personnes habilitees a invoquer le plan de continuity. 

Il peut etre egalement interessant de lister les exclusions, afin de ne pas cher- 
cher trop longtemps ces informations : 
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• les sites ne devant pas etre consideres ; 

• les elements techniques hors du champ d'action (par exemple, la telephonie 
vocale) ; 

• les actions qui ne sont pas du ressort de l’equipe intervenant sur le site (par 
exemple, la communication peut etre confiee a un porte-parole) ; 

• les elements traites par d’autres equipes ; 

• les elements totalement secondaires, qui seront pris en compte en dernier. 

Contexte general du plan 

A ce stade, l’objectif n'est pas de connaftre ce qui s'est produit et pourquoi, mais 
de sortir de 1’etat de sinistre. On peut done rappeler tres succinctement, et a titre 
purement indicatif, les travaux qui ont precede l'etablissement du plan, afin de 
cibler au mieux les actions a mettre en oeuvre. 

Rappel concernant la gestion des risques 

Un court rapport de type management summary est necessaire pour rappeler les 
risques encourus par ['organisation et les solutions entreprises pour y remedier 
(voir le chapitre 1). Voici les points qui y sont mentionnes : 

• la liste des risques et des menaces qui pesent sur 1'organisation ; 

• la liste des biens (ou actifs) exposes aux menaces ; 

• la description synthetique des actions de mise sous controle employees et du 
risque residuel qui en resulte. 

Des references a d’autres rapports peuvent egalement y figurer, en particulier les 
analyses de risques. 

Rappel concernant I'impact sur les activites 

Les resultats de l'analyse d’impact sur les activites (BIA) sont consignes dans un 
rapport dans lequel sont listes notamment les processus critiques (voir le chapi- 
tre 2). Pour chacun de ces processus, les aspects suivants seront brievement 
decrits dans le plan de continuite : 

• la designation du responsable, interlocuteur privilegie dont le nom est actua- 
lise dans la liste de contacts (voir plus loin) ; 

• la MTD ou duree d'interruption maximale admissible ; 

• les systemes informatiques et applications utilises par ce processus ; 

• les ressources critiques non informatiques ; 

• les divers temps de reprise : RTO, RPO, WRT des applications et ressources 
critiques (voir le chapitre 2 pour plus de detail). 

Rappel concernant la strategic de continuite 

Ce dernier rappel concerne le troisibme aspect du processus de continuite 
d'activite, a savoir les choix strategiques realises en termes d’options de conti- 
nuity (voir le chapitre 3) : 
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1 . les locaux et bureaux de secours qu'il est prevu d'utiliser suite a un sinistre, 
en particulier le centre de gestion de crise destine a l'equipe de gestion de 
crise ; 

2. les systbmes, infrastructures et locaux informatiques juges critiques et ceux 
prevus pour les remplacer en cas de sinistre ; 

3. les dossiers et donnees critiques, ainsi que les lieux ou sites ou sont stockes 
les sauvegardes et duplicata des documents critiques ; 

4. pour la production industrielle, une indication precise des equipements et 
produits critiques, ainsi que des sites ou l'on peut trouver ou retablir ces ele- 
ments ou ceux prevus pour les remplacer. 

Structure du plan de continuite 

Le plan de continuite doit etre formalise par un document lisible, mis & jour 

regulierement et accessible par ceux qui devront l’appliquer. Ce plan doit etre 

complet et facile a mettre en oeuvre. 

Voici a quoi peut ressembler un plan de continuite type. 


Plan de continuite d'activite 

1. Objectif et perimetre 

1.1. Objectif du plan 

1.2. Perimetre concerne 

1.3. Exclusions 

2. Definition du sinistre 

2.1. Sinistre mineur 

2.2. Sinistre moyen 

2.3. Sinistre majeur 

3. Rappel de I'etude sur la gestion des risques 

4. Rappel de I'analyse des impacts sur les activites 

5. Rappel de la strategie de continuite de I'activite 

6. Equipes et missions 

6.1. Croupe de gestion de crise 

6.2. Croupe de redemarrage des activites 

6.3. Croupe de recuperation technique et operationnelle 

7. Informations utiles sur les contacts 

7.1 . Listes par entites et/ou competences 

7.2. Membres des differents groupes et remplapants 

7.3. Aspects confidentiels et « vie privee » 

8. Centre de gestion de crise 

8.1. Localisation 
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8.2. Activation 

8.3. Occupants 

9. Planning en sept etapes 

9.1. Premiere intervention et notification 

9.2. Evaluation et escalade 

9.3. Declaration de sinistre 

9.4. Planification de la logistique d'intervention 

9.5. Recuperation et reprise 

9.6. Retour a la normale 

9.7. Bilan 

10. Affectation des ressources techniques a chacune des etapes 

10.1. Listes et responsables 

10.2. Methode de mise a jour 

11. Affectation des ressources humaines a chacune des etapes 

11.1. Lien entre groupe et etape 

11.2. Evaluation des charges 

12. Controle des changements eventuels du plan 

12.1. Responsable 

12.2. Methode 

13. Liste des destinataires du plan 

13.1. Liste nominative et par fonction 

13.2. Mise a jour 

Annexes (documents complementaires fournis) 

A. Plan de secours 

B. Plan de communication de crise 

C. Contacts externes 

D. Ressources critiques 

1. Bureaux et equipements 

2. Systemes informatiques et infrastructures 

3. Machines et equipements de production 

4. Stocks divers de production 

E. Dossiers critiques et enregistrements sensibles 

F. Informations sur les sites de secours 

1 . Sites de secours informatiques 

2. Sites de secours de production 

3. Bureaux ou locaux de secours 

4. Centre de gestion de crise 

C. Procedures de stockage et de recuperation des dossiers et enregistrements vitaux 
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H. Informations sur les polices d'assurance 

I. Conventions de service 

J. Guides et normes 

K. Formulaires de travail manuel 

L. Rapports sur les etudes realisees 

1. Evaluations de risque 

2. Impacts sur les affaires 

3. Strategie de continuity 

M. Clossaire 


Planning des activities 
Le PCA : un projet a part 

Le planning des activites doit etre congu par l'entreprise de fagon a etre adapte 
au mieux au contexte de ses activites. Il n'existe done pas de plan universelle- 
ment valable et chaque entreprise possede son propre plan. Neanmoins, il y a 
tout avantage a ce que le plan soit base sur un modele type de planning permet- 
tant de repondre a toutes les questions importantes dans un ordre raisonne. 
Comme tout projet, le PCA fait appel a des ressources specifiques et des grou- 
pes d'intervention particuliers, dont il est important de definir au prealable la 
composition et les responsabilites dans des listes. Lors d’un sinistre, ces listes 
de contacts jouent un role primordial, car il est bien evidemment impossible de 
prevoir a l’avance les competences a mobiliser et disponibles & ce moment-la : 
« nul ne connaTt le jour ni l’heure » du declenchement du plan, et encore moins 
le nom des responsables qui seront en position de decider. Il faudra alors reagir 
avec les ressources disponibles. Sur ces points, le PCA se distingue d'un projet 
normal. (Pour plus de details sur le projet de PCA, se referer au chapitre 12.) 

Planning en sept etapes 

On retient le plus souvent un planning en sept etapes, qui sera vu plus en detail 
dans le chapitre 5. 

• Etape 1 - Premiere intervention et notification. 11 s’agit de prendre en 
compte le sinistre, d'en evaluer trbs vite les degats et d'alerter les groupes 
d'intervention. 

• Etape 2 - Evaluation et escalade. Une inspection plus complete des degats 
sur le site touche est realisee, produisant rapidement un rapport. A partir de 
ces evaluations, les equipes necessaires sont depechees sur le site. 

• Etape 3 - Declaration de sinistre. Selon les constatations faites, l'etat de 
sinistre est declare ou non. Les etapes suivantes ne sont realisees que dans le 
cas ou l'etat de sinistre est declare. 
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• Etape 4 - Planiflcation de la logistique d’intervention. Les procedures de 
preparation logistique sont executees pour preparer 1'environnement de 
reprise et les equipes d'intervention aux deux etapes suivantes. 

• Etape 5 - Recuperation et reprise. Les ressources critiques, informatiques ou 
non, sont recuperees selon les options prevues. Les sites de secours sont mis en 
etat, investis et operationnels ; les processus critiques peuvent ainsi reprendre. 

• Etape 6 - Retour a la normale. Les activites operent une transition vers 
l’etat precedant le sinistre. Les ressources et sites sont alors ceux d'origine ou 
d’autres a caractere definitif. 

• Etape 7 - Bilan. Toutes les etapes precedentes sont analysees afin d'amelio- 
rer et/ou modifier le plan de continuite en consequence. 

Attention ! Plan de continuite vs plan d’intervention d'urgence 

Notons qu'il est fortement possible que I’etape 1 soit realisee en parallele d’un plan 
d'intervention d'urgence (medical, pompiers) s'occupant de la securite du personnel, de 
la sauvegarde des biens et de la preservation de 1'environnement. Le plan de continuite, 
quant a lui, s’attache uniquement a la continuite des activites de I'entreprise. 

Cette difference d'objectif est importante et doit rester a I'esprit des personnes qui execu- 
ted le plan, car elle peut amener des divergences de comportement. Par exempie, en cas 
d’incendie, les pompiers vont arroser un batiment pour eviter la reprise ou la propagation 
du feu, alors que les equipes chargees de la continuite souhaiteront proteger les ordina- 
teurs de toute humidite. 

Le centre de gestion de crise 


Point central de commandement, le centre de gestion de crise est le lieu a partir 
duquel sont decidees, planifiees et pilotees les actions des differents groupes 
d'intervention. C'est aussi le numero de telephone a appeler pour proposer ses 
services et demander une affectation k une tache du plan de continuite. Enfin, 
c'est la que Ton rend compte de toute execution d' actions planifiees ou de tout 
evenement nouveau. 

Une analogie militaire presenterait le centre de gestion de crise comme une 
salle d'etat-major ou une war room de film de guerre americain, avec sur les murs 
des tableaux et listes d'intervenants affectes dans les groupes d'intervention. On 
y tient a jour 1'etat d’avancement des actions lancees et la liste de celles d venir. 
C’est egalement un lieu oh sont presents les decideurs. Ainsi, en cas de doute 
ou de necessity d'arbitrage, les operationnels sur le terrain savent qu'en appe- 
lant ce centre, ils obtiendront une decision ou une consigne a appliquer et k 
faire appliquer. 

Un role cle 

II est primordial que ce role de centralisation soit assure de maniere claire et 
reconnue. De nombreux exemples de pannes relativement simples prouvent que 
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l'absence de centre de gestion de crise, et done de prise de decision centralisee, 

complique une situation de crise et ralentit les actions de reprise. 

Exemple : Panne d'electricite dans une usine de circuits imprimes sans centre de 
gestion de crise 

La societe CT fabrique des circuits imprimes pour la telephone. Vers 16 h 30, en plein 
hiver, une panne d'electricite survient. Les machines s'arretent et I'usine est quasi plon- 
gee dans le noir, hormis dans les endroits ou un eclairage de secours a pris le relais. 

Le centre informatique qui se trouve dans le meme batiment n'a egalement plus d'electri- 
cite. Certains serveurs s'arretent, d'autres basculent sur une alimentation de secours. En 
tout cas, les personnes presentes sur le site supposent qu'il en est ainsi. 

Au bout de cinq minutes, tous les employes ont quitte leur poste et discutent en groupes 
dans les zones encore eclairees. En realite, personne ne sait trap quoi faire. Certains 
s'enquierent aupres de leur chef de la conduite a tenir. Certains responsables telepho- 
nent, sans trap savoir a qui. Les ordinateurs ne fonctionnent plus, la messagerie est inac- 
cessible. Le help desk informatique present sur le site report des appels, mais il ne peut 
que confirmer qu'il est lui aussi dans le noir. 

Des ingenieurs systemes se rendent dans la salle des ordinateurs et constatent que cer- 
tains serveurs critiques fonctionnent toujours, mais ils ne savent pas durant combien de 
temps encore les reserves des batteries tiendront. Certains decident d'eux-memes d'arre- 
ter certains serveurs en suivant des procedures de securite, d'autres se contentent d'espe- 
rer que le courant reviendra sous peu. Mais on ne peut rien faire, car les procedures de 
securite sont enfermees dans le bureau d'un chef d'equipe absent. 

Monsieur X., chef de service, rentre de deplacement vers 17 h. Etantsur place le plus haut 
place dans la hierarchie, tout le monde se tourne vers lui, son bureau devenant alors une 
salle des pas perdus ou se rassemblent des employes impuissants. Monsieur X. demande 
alors a certaines equipes de rentrer a leur domicile pour liberer un peu de place et ainsi 
se concentrer sur le probleme. II part ensuite en salle informatique pour se renseigner sur 
les batteries alimentant les serveurs critiques. En son absence, son telephone continue de 
sonner, mais personne ne decroche. 

La societe citee en exemple s'en est sortie ; cet evenement lui a permis de tirer 

certaines legons, en faisant apparaftre les besoins suivants. 

• Mise en place d’un centre de gestion de crise connu de tous - Le help desk 
a ete choisi car son numero de telephone est connu de tous les employes. Un 
bureau, dote de plusieurs lignes de telephone, lui est attribue. 

• Designation d’un responsable - Monsieur X. est designe responsable de 
crise sur ce site et, lorsqu'il s’absente, son adjoint le remplace. 

• Permanence au centre - En cas de crise, Monsieur X. se rend au centre de 
crise et n'en bouge pas. S’il a besoin d’une information, il demande a un 
employe d’aller se renseigner. 

• Liste de contacts - Des numeros de telephone de personnels utiles en cas de 
crise sont notes dans une liste dont une copie est gardee au centre de crise. 

• Doubles des cles - Des cles d'acces pour la salle informatique et pour cer- 
tains bureaux sont dupliquees et conservees au centre de crise. 
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• Liste des ressources critiques - Une liste des serveurs les plus critiques est 
etablie, dont une copie est conservee au centre ; le help desk est par ailleurs 
tres content d'en disposer. Une pastille coloree de priorite d'arret est egale- 
ment collee sur les serveurs critiques. 

• Materiel necessaire - Des lampes de poche, un tableau de conference avec 
des marqueurs sont stockes dans une armoire du bureau de gestion crise. 

Ces quelques actions de bon sens permettent d’ameliorer la reactivite des inter- 
venants en cas de sinistre. Le fait de designer un centre de gestion de crise et de 
reflechir a ce qu'il serait bon d'y trouver a permis de progresser dans la prise en 
compte et la resolution de sinistres. 

Emplacement strategique du centre de gestion de crise 

Malheureusement, il est impossible de connaitre a l’avance le lieu oh se pro- 
duira le sinistre. Il faut done etudier differentes situations pour evaluer les sites 
candidats. Les criteres qui suivent permettent ensuite de les comparer. 

• Reconversion de locaux existants equipes - Peu de societes peuvent 
s’allouer une salle entierement dediee a la gestion de la crise. En general, e'est 
un local d'un autre usage habituel qui est utilise en cas de sinistre. Il faut done 
chercher dans les locaux existants les salles qui peuvent facilement etre recon- 
verties en centre de gestion de crise et qui disposent deja de telephones, d'un 
cablage reseau, de tables et chaises et eventuellement d'ordinateurs connec- 
ts. Tres souvent, les salles de cours s'averent de bonnes candidates. 

• Eloignement des zones a risque - Le centre ne doit pas etre soumis au 
meme sinistre que le site touche. Ainsi, on evitera de le placer en zone inon- 
dable, si l'inondation est le risque principal. Il faut penser egalement que les 
ascenseurs peuvent etre en panne et ne pas le placer trop haut dans les etages. 

• Accessibility - Le centre doit etre facile d'acces (gare, sortie d’autoroute), 
proche de commodites (hotels, restaurants), avec des facilites de chargement 
et de dechargement de materiels. 

Centre de gestion de crise de secours 

Pour des raisons de fiabilite, un centre de gestion de crise doit aussi disposer 
d'un site de secours, dans le cas ou le centre principal serait inutilisable. 

Pour un tel choix, il convient de rester pragmatique. Si l'entreprise dispose de 
plusieurs sites relativement proches, il est facile de trouver des bureaux adaptes 
que Ton puisse amenager en cas de sinistre. Chaque site possede son centre de 
gestion de crise et le centre d’un site peut venir au secours d’un autre. Il est ega- 
lement possible d’utiliser les locaux d'un confrere peu eloigne. Dans ce cas, il 
faudra gerer la cohabitation, en particulier si le bureau utilise sert aussi de cen- 
tre de gestion de secours pour le confrere. Ce type d’accord peut bien evidem- 
ment etre reciproque. Enfin, il est egalement envisageable d’utiliser des bureaux 
mobiles amenages dans un conteneur que Ton fait venir sur le site ; un centre 
precaire vaut mieux que pas de centre du tout. En cas de sinistre, il s'avere done 
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utile de prevoir ces trois alternatives : le centre de gestion de crise principal, le 
centre de secours et le centre mobile. 

Concretement, il est possible d'utiliser en premier recours un centre de secours 
eloigne parce que Ton ne dispose d'aucune autre solution. Ensuite, il est tou- 
jours temps de demenager, pour des raisons pratiques, dans un lieu plus proche 
du sinistre ; on utilise alors un site mobile ou le centre site sinistre lui-meme. 
Une derniere solution consiste a louer une salle dans un hotel, demandant une 
moindre preparation. Toutefois, si le sinistre est d'ampleur regionale, cette solu- 
tion n’est pas forcement viable, d'autres entreprises pouvant egalement avoir 
requisitionne les salles de ce meme hotel. 

Fonctions du centre de gestion de crise 

Le centre de gestion de crise est le lieu d'ou sont executees trois fonctions 
essentielles : le commandement, le controle et la communication - points 
essentiels dans [’organisation de ce centre et la planification de ses besoins. 
Attention, cependant : le centre est souvent fortement associe dans les esprits 
avec la coordination generale du PCA. A ce sujet, les Americains ont coutume de 
dire qu’un general sans centre d’operation n’est pas un vrai general. 

Commandement 

Tres souvent, les decisions doivent etre prises dans l’urgence a partir d’informa- 
tions incompletes. Le sinistre a provoque des degats et il est fortement probable 
qu’il en provoquera d’autres. Il faut done le circonscrire et sauver ce qui peut 
encore l’etre. Dans ce but, un dispositif de prise de decisions doit etre mis en 
place rapidement - ceci afin que tous les intervenants prennent le reflexe de ren- 
dre des comptes au centre de gestion de crise tout en suscitant une attitude 
d’ecoute et de respect des instructions emanant du centre. 

Un cercle vertueux « rendre compte » puis « executer » doit imperativement se 
mettre en place rapidement. Si ce n’est pas le cas, les equipes sur le site ris- 
quent d’agir inutilement, de fagon dangereuse voire nuisible, sans pour autant 
avoir effectue les actions de premiere importance. Pour eviter cela, il faut que 
l’operationnel puisse contacter le centre et y trouver des reponses immediates. 
Sinon, il considerera qu’il doit « se debrouiller tout seul » et que les comptes 
rendus sont « une perte de temps ». 

Un commandement efficace collecte les informations, met en place des plans 
d’actions realistes en fonction des moyens mis a disposition et affecte les rares 
ressources disponibles la ou leur efficacite sera maximale. Il est done necessaire 
que le responsable soit un bon decisionnaire et qu’il ait a disposition un mini- 
mum d’infrastructures. 

Controle 

Le controle consiste a suivre I’ execution des operations et a reajuster les actions 
en fonction des evenements et des resultats obtenus. 
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Toutes les informations collectees sont regroupees et rapportees aux responsa- 
bles. C'est pourquoi, il est utile de disposer de tableaux de conference avec du 
papier blanc et des marqueurs : cela permet de noter les informations par grou- 
pes d’intervention et de les avoir toujours sous les yeux. Detail anodin en appa- 
rence, l'utilisation de papier plutot que de surfaces effagables a l’avantage de 
permettre un debriefing ulterieur et la reconstitution de la chronologie des eve- 
nements. 

C'est encore au centre de gestion de crise que les reaffectations de ressources 
sont decidees, transmises et consignees. On y regoit egalement les nouvelles 
informations sur le sinistre, qui sont classees et horodatees. 

Des actions centralisees, telles que des commandes de materiels (pompes, 
baches, serveurs, etc.) ou les declarations diverses aupres des autorites ou assu- 
rers, sont menees depuis le centre, ou elles sont documentees. L'outil principal 
dans ces actions est alors le telephone. 

Communication 

Le centre de gestion de crise est le point nevralgique de la communication : c’est 
l’endroit oh toutes les nouvelles informations doivent converger et d'oh provien- 
nent toutes les informations fiables. On distingue deux types de communica- 
tion, en fonction de son objectif : la communication pour action et la 
communication pour information. L'information entrante provient des groupes 
d' intervention sur le terrain tandis que la communication sortante est a destina- 
tion des medias, des partenaires et clients, des salaries et du grand public. 

Un plan de communication type est donne en fin de chapitre. 

Exemple : Quand les telecommunications ne fonctionnent pas 

Suite a un incendie ayant provoque une coupure de courant et de nombreux degats, la 

telephone interne de la societe SLO, societe de leasing, ne fonctionne plus. 

Constatant le probleme, les responsables de I'entreprise se rendent les uns apres les 
autres dans le bureau du chef du service des telecommunications, Monsieur Y. Apres 
vingt minutes, ce bureau s' est quasi transforme en centre de gestion de crise. II en pre- 
sente en effet bien des caracteristiques : Monsieur Y. y a reuni ses experts qui tracent un 
plan de resolution au tableau blanc tandis que deux d'entre eux se rendent dans la salle 
de I’autocom pour en revenir au bout de cinq minutes avec des propositions d’actions. 
Monsieur Y. et d'autres chefs d'equipes ont planifie sur un tableau de conference diverses 
interventions et ont revu ensemble les activites du soir pour tenir compte surtout de 
I'absence de telephone. Les plannings ainsi modifies sont fixes au mur avec du ruban 
adhesif, les employes viennent s'y informer. 

Dans cet exemple, il est evident que le bureau du chef de service des telecommunications 
est le lieu le plus approprie pour implanter un centre de gestion de crise, tant que la tele- 
phone n'est pas operationnelle et le local initialement prevu sans aucun moyen de com- 
muniquer. Dans le bureau de Monsieur Y., toute communication est de forme orale et le 
reporting realise grace au reflexe des experts se deplagant pour rendre compte a leur chef 
et s'aviser des instructions. Des informations operationnelles sont egalement affichees 
au mur. 
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En general, il est preconise de disposer au centre d’au moins trois lignes 
telephoniques : une ligne pour les appels entrants (a limiter en duree), une 
autre pour les appels sortants et une derniere disponible pour les appels de 
secours. 

En cas de defaillance des moyens habituels de communication (telephonie fixe 
et mobile), il est necessaire de disposer de moyens radio (talkie-walkie) pour 
relier le centre de gestion de crise aux operationnels envoyes sur le terrain. 

Equipement du centre de gestion de crise 

Le centre de gestion de crise prevu doit etre dote de moyens lui permettant de 
remplir parfaitement sa mission sur toute la duree necessaire. Il faut done pre- 
voir, dans le centre, meme ou a proximite, des moyens facilement accessibles 
tels que : 

• un generateur electrique ou des batteries avec onduleurs ; 

• un eclairage de secours ; 

• des lampes de poche avec provision de piles electriques en etat de 
fonctionner ; 

• des sanitaires, si le centre est isole ; 

• des trousses a pharmacie ; 

• des fournitures- blocs-notes, papiers, crayons, stylos bille, marqueurs, 
tableaux de conference, tableaux blancs, agrafeuses, papier adhesif, etc. ; 

• des ordinateurs et des imprimantes connectes au reseau ; 

• des tables, chaises, armoires a dossiers, corbeilles a papier et poubelles ; 

• un ou plusieurs photocopieurs, telecopieurs, avec les recharges de papier et 
les cartouches d'encre adaptees ; 

• des exemplaires du plan de continuite, des listes telephoniques, des organi- 
grammes et des listes de contacts ; 

• des plans des batiments, du site, de la ville et des environs ; 

• des formulaires specifiques a certains processus manuels de l’entreprise ; 

• des talkies-walkies avec batteries et chargeurs. 

Il est indispensable de verifier regulierement le bon fonctionnement des divers 
materiels ; les batteries doivent etre chargees, les piles utilisables et tout ce qui 
possede une date de peremption renouvele dans les delais. Les tests decrits au 
chapitre 6 traitent plus precisement de ces aspects. 

Missions, equipes et responsabilites 


Lors de l'execution d'un plan de continuite, rien n’est plus terrible qu'une situa- 
tion oh les employes ne savent pas quoi faire, agissent isolement et sans rendre 
de comptes ou, simplement, les rassemblements de curieux qui entravent la 
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liberte d’action des intervenants voire, pire, augmentent le niveau d'exposition 
et de risque. 11 est done essentiel de cadrer clairement les equipes operationnel- 
les, en definissant precisement le profil des intervenants ainsi que leurs 
responsabilites. 

II faut distinguer plusieurs missions et responsabilitbs. Toutes sont indispensa- 
bles. L'organisation peut varier : on peut prevoir une seule equipe polyvalente 
qui assume l’ensemble des missions ou, a 1'inverse, repartir ces missions entre 
plusieurs equipes specialisees. Le decoupage doit etre guide par des preoccupa- 
tions de facilite de mise en oeuvre et de capacite a coordonner. 

D'autre part, il faut garder a l'esprit qu'un specialiste prevu dans l'une des equi- 
pes d' intervention peut se trouver indisponible le jour du sinistre. Un compro- 
mis doit done etre trouve : a competence egale, il est preferable de choisir un 
employe sedentaire plutot qu'une personne toujours en deplacement. A 
1’inverse, un employe qui ne travaille pas en temps normal sur le site considere 
ne sera pas touche si le site est sinistre ; il sera alors plus disponible pour 
intervenir. 

Dans ce domaine encore plus qu'ailleurs, il existe une difference entre la theorie 
et la pratique. En cas de sinistre, il faut avant tout rechercher l’efficacite : un 
ingenieur systeme sera probablement plus utile en donnant ses instructions par 
telephone (s'il fonctionne) a un operateur de la salle informatique, plutot qu'a 
essayer de se rendre sur le site sinistre au risque de perdre deux heures dans les 
embouteillages. 

Le groupe de gestion de crise 

Le groupe de gestion de crise dirige l’execution du plan de continuite et coor- 
donne la communication ainsi que les diverses interventions connexes. 

Ce groupe est place sous la responsabilite d'un chef de groupe choisi parmi les 
cadres dirigeants seniors de l'entreprise. C’est lui qui, lors d’un sinistre, a le 
pouvoir de decider d'activer ou non le plan de continuite. En effet, grace a sa 
connaissance de l'entreprise et ses nombreux contacts sur le site et a I’exterieur 
(siege, filiales, etranger, hors entreprise, etc.), il est en mesure de comprendre 
rapidement les enjeux et de decider en connaissance de cause. 

Le groupe de gestion de crise se voit confier notamment les sept missions sui- 
vantes, qui peuvent faire l’objet d'equipes distinctes ou de responsables seniors 
attitres. 

Coordination de la continuite d'activite 

La coordination consiste a mener a bien les diverses etapes du plan de conti- 
nuite, aussi bien en interne qu'entre les differentes equipes. Il peut egalement 
etre interessant d'y associer la responsabilite de la maintenance et des tests du 
plan de continuite. 

Cette mission fondamentale doit etre confiee a une personne dotee d'une 
grande resistance au stress et d'une force de decision consequente - trop 
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d'hesitations se revelant inefficaces en cas de crise. Un responsable senior ou, 
dans de plus petites structures, le chef du groupe « continuity » peuvent parfai- 
tement assumer cette fonction. 

Evaluation des dommages 

Cette mission s'effectue immediatement apres la prise de connaissance du 
sinistre. Elle s'appuie sur l'intervention de specialistes locaux, qui sont imme- 
diatement envoyes sur les lieux pour evaluer au mieux l'etendue des degats et 
estimer le temps necessaire pour une remise en etat et un redemarrage des acti- 
vites - informations consignees dans un rapport. Ainsi, il est preferable de pre- 
voir sur place des intervenants pour cette mission. 

Afin de determiner au mieux tous ces elements cles pour la suite des operations, 
il est bon de s'appuyer sur des listes ou des guides de recommandations preeta- 
blis (listes de controles). 

Declaration d'activation du plan 

Cette mission consiste k avertir l'ensemble des employes et des dispositifs 
impliques dans le plan de continuity. Elle doit done etre confide a une equipe 
connaissant bien l’organisation de l’entreprise et des clients. En effet, il est sou- 
vent necessaire, en cas de sinistre, de trouver et de contacter les personnes dis- 
ponibles, qui ne sont pas forcement celles prevues a l’origine. 

Pour cela, il existe des listes preetablies de responsables et de personnels, orga- 
nisees en fonction des competences de chacun (voir ci-apres). 

Interventions d'urgence ou de premiers secours 

En cas d'urgence ou de premiers secours, il est imperatif de proteger en priority 
les personnes, les biens et l'environnement. Ainsi, differentes equipes peuvent 
etre depechees sur les lieux du sinistre : 

• equipes de premiers secours envoyees par et dependant du groupe de ges- 
tion de crise ; 

• equipes rattachees k une autre responsabilite (security civile, prefet. . . ) ; e'est 
le cas le plus frequent, et la mission consiste alors a se coordonner avec ces 
equipes. 

Pour definir cette coordination, un « plan de secours », consistant en une liste 
de points qui devront etre pris en consideration par les premiers secours, doit 
etre mis en place. Un exemple en est donne a la fin de ce chapitre. 

Communication 

C'est un aspect important, mais trop souvent neglige, de la gestion de crise. Il 
s'agit de fournir des informations coherentes, actualisees et precises sur le sinis- 
tre subi (nature, evolution, actions a mener et temps de retablissement prevu) a 
toutes les personnes concernees (le personnel, la hierarchic, les partenaires 
d’affaire externes, les clients mais aussi le public). 
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II faut distinguer la communication pour information de la communication pour 
action. Ce role d’information sera confie preferablement a une personne tra- 
vaillant en appels sortants, afin d’eviter les saturations d'appels telephoniques 
inutiles vers les responsables operationnels. Cela veut dire que la personne 
prend les devants et appelle vers 1’exterieur plutot que d'attendre des appels 
entrants pouvant perturber les responsables operationnels. 

Un guide preetabli de la communication de crise peut etre realise avec profit : un 
exemple de plan de ce type est donne en fin de chapitre. 

Activation de la logistique et de i'approvisionnement des moyens de secours 

II s’agit ici de realiser concretement les actions prevues par la strategic de conti- 
nuite (voir le chapitre 3), a savoir : 

• activer les contrats de secours de sites, les livraisons des moyens informati- 
ques et autres, 1’ouverture des droits de licence, des connexions reseaux de 
secours, etc., prevus dans le plan ; 

• effectuer des demenagements et les deplacements des employes vers les 
sites secondaires. 

En general, cette mission est confiee a une equipe travaillant en parallele des 
autres, ayant une parfaite connaissance des fournisseurs, des contrats de 
secours et de leurs conditions. Ses membres ne se trouvent pas necessairement 
sur place, mais doivent interrompre leur activite habituelle pour s'y consacrer a 
plein temps. 

Evaluation des risques 

Preoccupation majeure du groupe de gestion de crise, cette mission consiste k 
evaluer en continu les risques pris lors de l'activation du plan de continuite, afin 
de les controler au mieux. Ces risques concernent notamment : 

• avant tout, bien stir, les personnes, les biens et 1'environnement ; 

• ensuite, la preservation des droits et des interets de l’entreprise (vis-a-vis des 
assurances ou de recours divers), ainsi que le respect des obligations legales, 
de la securite et de la confidentiality 

Cette mission est le plus souvent confiee a un technicien generaliste reconnu 
qui aura, eventuellement, a s'opposer a certaines actions qu'il jugera trop ris- 
quees. Ainsi, des arbitrages inevitables seront a faire avec et par le chef du 
groupe de gestion de crise. Ces arbitrages devront necessairement etre 
documented. 

Le groupe de redemarrage des activites 

Ce groupe est tres important, car tourne vers les metiers et les activites de 
l'entreprise. Il represente les interets des responsables des differentes activites 
de l'entreprise (entites metier ou business units ) et porte leurs exigences en ter- 
mes de continuite d’activite. 
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Le groupe de redemarrage des activities se subdivise en trois equipes, reportant 
chacune au chef du groupe de gestion de crise : l'equipe metier, les utilisateurs 
courants et le groupe charge des relations internationales, quand il y a lieu. Tou- 
tefois, sa constitution est volontairement differente de celle du groupe qui pre- 
cede, car il se peut que les priorites divergent. 

L'equipe metier ^business unitj 

Son objectif est de repondre aux preoccupations et de defendre les interets des 
differents departements de l'entreprise qui ont besoin de retrouver des moyens 
pour fonctionner. 

Plusieurs organisations sont possibles pour constituer cette equipe : 

• chaque departement a son propre groupe constitue d'utilisateurs cles ; 

• une seule equipe regroupe les representants ou correspondants informati- 
ques des principaux departements ; 

• les departements intervenant sur des activites critiques sont represents par 
une seule equipe, les autres unites par une seule personne ou ne sont pas 
representees ; 

• un role est souvent attribue a une mattrise d'ouvrage interne proche des busi- 
ness units, focalisee sur les processus dits critiques de l'entreprise. 

Le groupe des utilisateurs courants 

Ce groupe determine les besoins immediats et souvent d’ordre general (bureau- 
tique, reseau local, poste de travail) des utilisateurs, suit le processus de rede- 
marrage des activites et sert de relais entre les utilisateurs et le groupe de 
recuperation technique (voir plus loin). 

A la demande du responsable de la gestion de crise, ses membres peuvent etre 
amenes a choisir entre deux solutions. Il est en effet possible d'imaginer des 
solutions de reprise en mode degrade, demandant de choisir entre une solution 
incomplete mais rapide et une solution complete mais beaucoup plus longue a 
mettre en ceuvre. 

D’autre part, on peut imaginer des entites metier qui, devant l'etendue des 
degats, vont mener leurs propres actions k l'aide de moyens hors du champ du 
plan de continuity, comme utiliser des boftes mails de grands fournisseurs 
Internet en attendant que la messagerie interne soit retablie. Ces actions ne 
concernant qu’un nombre restreint d'utilisateurs peuvent etre menees en 
dehors du plan de continuity. Ce type de situation se rencontre lorsque la 
mutualisation des moyens informatiques n’est ni tres forte ni centralisee. Le res- 
ponsable de la gestion de crise doit malgre tout en etre averti. Dans ce cas, le 
departement « autonome » rejoint le plan en etape 6 (retour a la normale). Avec 
l'apparition des offres de services sur Internet ou [’utilisation de logiciels en 
mode SaaS ( Software as a Service ou logiciel propose comme un service), ces situa- 
tions, encore rares, deviennent de plus en plus courantes. 
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Ainsi, 1'elaboration du plan de continuite ne doit pas negliger ces solutions 
externes, sous peine de se trouver deborde le jour du sinistre par des operation- 
nels qui iront chercher des solutions partielles et non coordonnees en dehors de 
celles prevues par le plan. Avant de ne recourir qu'aux solutions internes, il est 
indispensable d'envisager la viabilite des offres externes du marche et de les 
integrer au plan si elles conviennent. 

Le groupe des relations internationales 

Pour les entreprises disposant de filiales ou de partenaires importants a l'etran- 
ger, il convient d'etre vigilant quant aux impacts que le sinistre peut avoir sur ces 
relations. Ainsi, en raison des problemes de langues et de decalages horaires, il 
est souvent preferable de confier a une personne ou a un petit groupe la mission 
suivante, consistant a : 

• prevenir les contacts ou responsables etrangers de l’occurrence du sinistre ; 

• les avertir de l'impact du sinistre sur leurs activites ; 

• les informer des evolutions et des actions mises en oeuvre ; 

• leur transmettre des messages a diffuser localement ; 

• declencher, eventuellement, en local les parties du plan de continuite qui les 
concernent ; 

• assurer un suivi des actions menees localement et la coordination avec la 
maison mere ; 

• recueillir les eventuelles suggestions d'amelioration du dispositif. 

Le groupe de recuperation technique et operationnelle 

Les membres de ce groupe sont envoyes sur le terrain pour recuperer tout ce qui 
peut l’etre et remettre en ordre de fonctionnement ce qui doit l'etre. 

Selon le contexte du sinistre et son ampleur, sa constitution ainsi que sa locali- 
sation geographique peuvent varier. En effet, certaines personnes peuvent etre 
envoyees sur le site sinistre et d’autres sur un site de secours plus ou moins 
eloigne. 

Ses competences doivent permettre la realisation des missions decrites 
ci-apres. 

Remise en route de I'informatique 

Effectuee par des specialistes, cette mission consiste k remettre en etat ou k 
faire redemarrer « a neuf » les moyens informatiques : plates-formes et syste- 
mes d'exploitation, reseaux et telecommunications, systemes de bases de don- 
nees et fichiers, applications prevues dans le plan, restaurations systeme, 
systemes de securite conformes au niveau convenu, environnements divers 
(tests, integration), cablage, alimentations electriques et refroidissement. 
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Ces specialistes connaissent parfaitement les procedures d’installation et les 
contraintes de configuration, tout en disposant des autorites et autorisations 
necessaires. 

Recuperation et mise en route des moyens de production industrielle 

Cette mission est confiee a differents corps de metiers : mecaniciens, electri- 
ciens, specialistes de commandes numeriques, depanneurs, charges de mainte- 
nance, electroniciens, etc. Cette equipe prend en charge la recuperation, la 
remise en dtat et l'activation des equipements conserves en secours ou apportes 
sur le site du sinistre : 

• equipements endommages a evaluer et a remettre en etat ; 

• equipements a tester ; 

• alimentations electriques ou autres energies ; 

• stocks de matihres et biens intermediaries ; 

• tout equipement assurant la securite d’exploitation. 

Manipulation des matieres dangereuses 

II est necessaire de manipuler correctement certaines matieres qui, selon le con- 
texte, peuvent s'averer dangereuses pour l'environnement comme pour 
l'homme. Les intervenants sur cette mission doivent done identifier les matieres 
ou conditions a risques, detecter les contaminations ou pollutions diverses, afin 
de mettre en oeuvre les actions de protection ou d’evacuation. 

II est done primordial que ces intervenants soient des specialistes du domaine, 
voire des intervenants exterieurs (pompiers, fournisseurs d'electricite ou de gaz, 
services municipaux). Parfois, ils peuvent etre amenes a prendre des decisions 
allant a 1'encontre des interets immediats des acteurs, rendant la encore un arbi- 
trage necessaire. 

Les evolutions recentes en matiere de protection de l'environnement et de deve- 
loppement durable font de la manipulation des matieres dangereuses un sujet 
de reflexion desormais incontournable. 

Recuperation et restauration des dossiers vitaux 

Certaines industries sont tenues de conserver des dossiers durant de trhs lon- 
gues periodes : l'industrie pharmaceutique, par exemple, doit garder ses tests 
de medicaments pendant au moins trente ans, sans parler des cabinets 
d’experts comptables ou d'avocats qui archivent egalement un nombre conside- 
rable de pieces justificatives sous forme papier. 

Cette quatrieme mission technique consiste done h recuperer les dossiers 
endommages (dossiers papiers ou microfiches) en leur apportant un soin et une 
protection immediate, en stoppant toute poursuite de degradation et tout dom- 
mage ulterieur et en appliquant des procedures permettant de les reconstituer 
dans leur etat initial. Seulement dans certains cas, encore rares, ces dossiers 
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papiers ont ete copies sur CD-Rom ou sur DON (disque optique numerique). Les 
supports a rechercher et a restaurer sont done d'une grande diversite. 

Recuperation des sauvegardes critiques 

Cette recuperation concerne les sauvegardes informatiques traditionnelles, qui 
ont normalement ete deposees « en lieu sflr ». Les intervenants sur cette mis- 
sion doivent done : 

• recuperer les sauvegardes la oil elles sont stockees (coffre-fort ignifuge pro- 
che du site sinistre ou sur un autre site de depot) ; 

• recuperer tous les elements necessaires, sans en oublier, dans le bon etat et a 
la bonne date (applications, bases de donnees, fichiers, systemes, etc.) ; 

• assurer la securite des sauvegardes classees confidentielles. 

Cette mission delicate doit etre menee avec le plus grand soin. En effet, tout 
oubli (une valise de cassettes non recuperee, par exemple) peut « torpiller » 
l'ensemble du processus de restauration des donnees. 

L'equipe habilitee doit done parfaitement connaitre le lieu oh sont entreposees 
les sauvegardes. Tres souvent, elle sera constitute des employes charges du 
transport (par navette, en general) des cassettes de sauvegarde en temps nor- 
mal. En outre, les cassettes de sauvegarde doivent etre stockees par lots cohe- 
rents, reconnaissables sans ambiguTte. Enfin, les responsables des applications 
critiques doivent s'assurer que les donnees qu'ils donnent k sauvegarder sont 
effectivement les donnees necessaires a la restauration de leurs applications. 
Les technologies de stockage etant en pleine evolution, une partie des donnees 
a recuperer ne se trouve plus actuellement sur des bandes en cassettes ou car- 
touches. En effet, des systemes de copie miroir a distance rendent les donnees 
disponibles directement sur les systemes de disques du site de secours. Ces 
techniques, encore minoritaires, se developpent et sont decrites dans les gran- 
des lignes au chapitre 8. 

Coordination des moyens generaux 

Assuree generalement par des assistantes de direction ou des administratifs 
maftrisant l'environnement des sites concernes, cette mission consiste & assurer 
l'intendance en liaison avec les fournisseurs, le site de secours, les bureaux 
alternatifs, etc. - a savoir : 

• gerer les declarations et les demandes aupres des fournisseurs pour se procu- 
rer, par exemple, des tables, des chaises ou des ordinateurs, demenager cer- 
tains biens, etc., conformement au plan ; 

• prevoir le gite et le couvert des equipes deplacees, ainsi que leur transport 
(reservations d'hotel, de taxi, de trains, d'avion, etc.) ; 

• proceder a l'identification et assurer le suivi des coOts engages. 
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Retour a la normale 

En general, une fois cette etape atteinte, le stress lie au sinistre a baisse d’un 
cran et la rapidite d'action cede le pas a la qualite d'execution, afln de ne pas 
perturber les processus critiques. Si cette mission se trouve sous une contrainte 
de delai forte, cela peut signifier que les moyens de secours choisis n'etaient pas 
les plus adaptes. 

Toutefois, cette mission est loin d’etre negligeable, car son impact sur les activi- 
tes reprises doit etre le plus faible possible. Ainsi, il est primordial de planifier 
avec attention le retour vers le site primaire ou un nouveau site en cas de des- 
truction totale du site primaire ou d'abandon. 

Les taches incombant a cette mission sont confides & une equipe qui lui est 
entierement consacree. 

Les listes de contacts 

En temps normal, il est deja souvent difficile de joindre quelqu'un ; que dire 
alors en cas de sinistre ! La liste des contacts a done pour fonction d’etablir pre- 
cisement le role de chaque employe, en donnant ses coordonnees ainsi que la 
personne devant le remplacer en cas d'absence ou de non-disponibilite. 
Veritable outil entre les mains des responsables du plan de continuity, ces listes 
demandent d'etre etablies avec le plus grand soin, dans le respect des contrain- 
tes dues a leur usage. 

Listes par entite 

Chaque entite potentiellement impliquee dans des actions de reaction face a un 
sinistre (departements en support operationnel, departements metier) doit tenir 
a jour une liste des employes qui seront sollicites pour mener a bien ces actions. 
Ces listes doivent etre faciles a trouver, lisibles et mises a jour regulierement. 
Elies comportent : 

• la denomination de l'equipe ; 

• les nom et prenom des membres ; 

• le role de chacun (domaine, speciality technique) ; 

• les numeros de telephone professionnel, personnel et portable de chacun ; 

• le nom d'un eventuel remplagant ou de la personne a appeler en priority en 
cas d'absence ou de non-disponibilite. 

Le tableau 4-1 montre un exemple d'une telle liste (les noms utilises sont 
fictifs). 
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Tableau 4-1 : Liste de contacts - Service support production (SP) 


Nom 

Prenom Domaine Telephone fixe 

Telephone 

prive 

Andre 

Jean-Luc 

reseaux locaux 

01 -44-41 -... 

06-61 -... 

01 -7 8-04-.. . 

Bardeau 

Jacques 

responsable SP 

01 -44-41 -... 

06-66-.. . 

01 -67-61-.,. 

Charles 

Pierre 

expert exploitation 

01 -44-41 -... 

06-82-.. . 

01 -44-41 -... 

Drumont 

Albert 

support MVS & zOS 

01 -44-41 -... 

06-03-.. . 

01 -92-66-... 

Evenin 

Emma 

support Unix (1) 

01 -44-41 -... 

06-61 -..i 

01 -67-61 -... 

Figeac 

Greg 

support Windows 

01 -44-41 -... 

06-84-.. . 

01 -53-25-... 

Cal 

Lo'ic 

support CICS, DB2 

01 -44-41 -... 

06-66-.. . 

01 -54-65-... 

Judon 

Alfred 

support reseau 

01 -44-41 -... 

06-61-.., 

01 -78-0 3-... 

Klein 

Helmut 

support Unix (2) 

01 -44-41 -... 


01 -44-41 -... 

Lamarre 

Pierre 

support Unix (3) 

01 -44-41 -... 

06-09-.. . 

01 -77-92-... 

Marche 

Louis 

securite 

01 -44-41 -... 

06-86-... 

01 -75-26-... 


Pour les listes de contacts, on privilegiera un classement alphabetique pour les 
noms propres ainsi qu'un libelle simple et universel pour les domaines. 

Le tableau 4-1 indique, par exemple, que pour un probleme concernant Unix et la 
securite, il faut tout d'abord appeler Emma Evenin (Unix 1) pour le support Unix, 
et Louis Marche pour la securite. Si Emma Evenin n’est pas joignable, il faut alors 
appeler Helmut Klein (Unix 2). Si Louis Marche est absent, il faut contacter le res- 
ponsable SP, Jacques Bardeau. En effet, c'est la regie, lorsque aucun remplapant 
n'est indique, il faut transferer la demande au responsable hierarchique. 

Certaines societes indiquent egalement si la personne est membre ou non d’un 
groupe intervenant dans le plan de continuite. En outre, cette information est 
aussi bien gerable dans des listes specifiques aux groupes. Enfin, il est parfois 
mentionne le type d'information que la personne peut recevoir (rapport de sinis- 
tre preliminaire ou detaille, par exemple), afin de designer un destinataire au 
groupe de notification charge d'envoyer les rapports. 

Listes de constitution des groupes 

Les differents groupes mentionnes plus haut sont constitues de membres desi- 
gnes a l'avance, recenses dans des listes du meme type. Ces listes devront plus 
que toute autre porter une forte attention a ce que leurs membres soient effecti- 
vement joignables ainsi qu'a la notion de remplagant (ou d'adjoint). 

Selon la taille des effectifs et du site a traiter, les groupes peuvent varier en 
importance ; la gravite du sinistre joue egalement un role majeur dans la consti- 
tution des groupes. Certaines personnes peuvent aussi appartenir a plusieurs 
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groupes. Tous ces aspects sont a decider en amont, afin d'etre immediatement 
operationnel lors du sinistre. Certaines societes etablissent a cet effet des listes 
indicatives de groupes et de membres. Designant un chef de crise pour prendre 
en main les operations, c’est lui qui se chargera en temps voulu de la constitu- 
tion des groupes a partir de ces listes indicatives et de sa propre connaissance 
de l’entreprise. 

Confidentialite et informations privees 

Par respect de la vie privee, le fait que les numeros de telephone personnel figu- 
rent sur les listes rend ces dernieres confidentielles. Cela pose d’ailleurs un pro- 
bleme classique en cas de crise, puisque les donnees devant etre accessibles en 
urgence sont davantage protegees que les donnees habituelles. Cette question 
de confidentialite, recurrente au cours des interventions d’urgence, doit etre 
traitee specifiquement (voir le chapitre 5). 

Dans ces listes, il peut etre egalement specifie si l'employe a acces ou non a des 
outils de suivi d'incidents ou s’il dispose d'autorites specifiques, cela pouvant 
s'averer utile dans les actions de reprise. 

Toutefois, il faut veiller a ce que les listes ne contiennent pas trop d’informa- 
tions. En effet, plus il y en a, plus les listes sont difficiles a gerer et a mettre a 
jour - ce qui peut s'averer problematique en cas de sinistre. N’oublions pas que 
nombre d'informations utiles peuvent etre relayees par la suite par les responsa- 
bles via le telephone. Pour une gestion plus facile des listes, il existe sur le mar- 
che des outils permettant a chaque employe membre des listes de contacts, via 
de simples e-mails sur serveurs web, d’actualiser regulierement son profil. 

Constituer les qroupes d’ intervention 


Pour elaborer son plan de continuity ou PCA, l'entreprise doit constituer les 
groupes d'intervention en fonction des competences et du personnel disponi- 
ble, sans oublier l’importance primordiale d’avoir « un pilote dans I'avion ». 

La constitution des groupes mis en action en cas de sinistre s’appuie sur la 
structuration des missions decrite precedemment et sur la liste des missions a 
remplir. De la meme maniere, un responsable est nomme pour prendre les cho- 
ses en main, ainsi qu’un suppleant en cas d'absence. 

Affectation des missions 

Dans l’exemple d’affectation suivant, les groupes envoyes en mission sont cai- 
ques sur l’organisation de l’entreprise. 
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Tableau 4-2 : Affectation des missions aux groupes d'intervention 


Mission 

Groupe responsable 

Commentaire 

Coordination du PCA 

Gestion de crise 

Responsable du groupe 

Evaluation des dommages 

Gestion de crise 

Peut etre deleguee localement 

Declaration d'activation 

Gestion de crise 

Responsable du groupe 

Intervention des premiers 
secours 

Secours locaux 

Verifier I'activation 

Communication 

Service de communication 

Liste de contacts 

Logistique et 
approvisionnement 

Service logistique 

Liste de contacts 

Evaluation des risques 

Gestion de crise 

Mission permanente 

Redemarrage metiers 

MOA du site 

Liste de contacts 

Redemarrage utilisateurs 
courants 

Groupe service PC 

Liste de contacts 

Remise en route informatique 

Service IT 

Liste de contacts 

Recuperation de moyens 
industries 

Service industriel 

Liste de contacts 

Recuperation de bureaux 

Service IT 

Traite aussi les ordinateurs 

Manipulation de matieres 
dangereuses 

Gestion de crise 

Peut eventuellement etre 
deleguee 

Recuperation des dossiers 
vitaux 

Service archivage 

Liste de contacts 

Recuperation des sauvegardes 
critiques 

Service logistique 

Liste de contacts 

Coordination des moyens 
generaux 

Service logistique 

Liste de contacts 

Retour a la normale 

Gestion de crise 

Pourra etre deleguee 
ulterieurement 


Ce tableau merite certains commentaires. 

• Parmi les groupes en charge des differentes missions, seul le groupe de ges- 
tion de crise est constitue lors du sinistre, les autres groupes etant des sous- 
ensembles de services preexistants au sein de l'entreprise. Ces groupes doi- 
vent avoir ete formes a cette nouvelle mission. 

• La mention « liste de contacts » signifie qu'il existe une liste, tenue k jour, 
avec un nom et des coordonnees. 
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• La mention « peut etre deleguee » signifie que le groupe en charge de la mis- 
sion peut en confier la realisation a un autre, tout en suivant sa bonne 
execution. 

• Un service de communication n’est pas toujours present sur le site sinistre. 11 
est done primordial d’y envoyer des representants attitres, d'autant plus que 
si l’entreprise est connue, les chafnes de television seront sur place pour fil- 
mer et interroger les employes. 

• La MOA du site designe la mattrise d’ouvrage informatique : dans le cas pre- 
sent, best l’entite qui mattrise le mieux les applications informatiques et les 
processus critiques. 

• Le service IT (informatique) s’occupe ici de remettre en ordre de bon fonction- 
nement 1'informatique et les bureaux, mais ce n’est pas toujours le cas. Dans 
notre exemple, l’entreprise a probablement un service informatique qui mat- 
trise bien les aspects d’infrastructure et de batiment. 

• Le service « archivage » figure dans ce tableau, car il a la responsabilite des 
archives et de leur conservation. Ainsi, il est le plus qualifie pour recuperer ce 
qui doit l’etre. 

En fonction de ce qui precede, le responsable du groupe de gestion de crise peut 
constituer les differents groupes et decider du lieu oh ils vont intervenir ainsi 
que des comptes qu’ils devront lui rendre (actions de reporting). 

Ainsi, les groupes decrits plus haut peuvent etre a geometrie variable d’une 
entreprise a une autre, tant que les missions restent assumees. 

Former et sensibiliser les differents acteurs 

Tout plan, quel qu’il soit, n'a pas lieu d'etre si les personnes censees le mettre 
en oeuvre ne savent pas ce qu'elles doivent faire, d'autant plus que les condi- 
tions de travail en cas de sinistre ne sont pas celles auxquelles le personnel est 
habitue. Une sensibilisation et une formation des acteurs s'imposent alors. 
C'est pourquoi la notion de sensibilisation (awareness) est extremement impor- 
tante dans la litterature anglo-saxonne comme pour les groupes de travail sur 
les normes britanniques (British Standard Institute ), qui y accordent une impor- 
tance accrue. 

Ainsi, il est recommande de mettre en place un programme de sensibilisation et 
de formation. L'engagement de la direction generale sur ce point est fondamen- 
tal et des credits doivent etre debloques pour ce programme. Par ailleurs, la 
DRH doit assurer le suivi des listes de personnel forme et a former. 

Formation 

On procede generalement en quatre temps. 

1. Etablir, dans les services, la liste des besoins en sensibilisation et en forma- 
tion. Pour cela, il faut lister les employes impliques dans les differents grou- 
pes ou recourir a une evaluation par la hierarchie. 
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2. Faire une evaluation d'ecart entre ce que les employes doivent connaTtre et 
ce qu’ils connaissent deja. 

3. Selectionner, selon les budgets, les programmes de formation k mettre en 
place pour combler les ecarts - il se developpe actuellement sur le marche 
frangais une offre dans ce domaine. 

4. Planifier les formations et controler les personnes formees et restant a 
former. 

Sensibilisation 

Par ailleurs, l'entreprise dispose de divers moyens de sensibilisation : 

• les reglements interieurs ou les manuels d'utilisation lies a l’informatique 
abordent - trop peu, helas - les aspects de continuite d'activite (continuite de 
service, secours, restaurations, etc.) ; il est possible, et meme recommande, 
de developper les points principaux dans ces documents ; 

• les affiches ou cartons a poser sur son bureau de type « conduite a tenir en 
cas de sinistre » avec indication des numeros de telephone a appeler, par 
exemple, peuvent se reveler tres utiles ; 

• des seminaries ou autres evenements d’entreprise peuvent regulierement 
aborder le sujet ; 

• la litterature sur la continuite d’activite se developpe, y compris en langue 
frangaise ; 

• la participation a des campagnes de tests peut avoir un effet pedagogique, 
meme si cela n'est pas l'objectif premier des tests (voir le chapitre 6) ; 

• les divers audits et leurs rapports subsequents peuvent etre l'occasion d'un 
rappel interessant (voir le chapitre 13). 

Comme dans les approches qualite ou securite, l’implication de la direction 
generale, qui indique ses orientations et ses choix en matiere de continuite 
d'activite, s’avere primordiale. Celle-ci doit communiquer regulierement, via la 
parution de notes ou autres, au sujet de la « politique de continuite » de l'entre- 
prise. Le mot « politique » etant une traduction un peu biaisee de l’anglais policy, 
les mots « volonte d’orientation de la direction » conviendraient mieux. (Voir le 
chapitre 1 1 et les suivants sur ces aspects de gouvernance.) 

Mettre a jour la constitution des groupes 

Pour la perennite du plan de continuite, il est indispensable d’actualiser regulie- 
rement les groupes constitues pour realiser les missions. Cette remarque est 
valable egalement pour les listes de contacts et pour les tableaux de missions et 
groupes decrits plus haut. 

En matiere de maintenance des listes de personnels k jour, la recette miracle 
n'existe pas. On limitera les risques d'obsolescence en procedant par deux 
approches concurrentes mais complementaires. 


Chapitre 4 - PCA : deFinir les missions et les responsables 


• Mise a jour par la hierarchie - Les responsables des equipes ou services 
conservent la liste des employes « requisitionnes » en cas de sinistre, mainte- 
nue a jour au niveau de leur entite. En cas de modification, ils previennent le 
responsabie de la continuity d’activite. 

• Mise a jour par le responsabie de la continuity - Ce responsabie (le chef du 
groupe de gestion de crise en general) maintient k son niveau une matrice de 
correspondance entre les groupes et les noms des personnes qui les consti- 
tuent. Il est normalement averti des changements par les responsables 
metier. Pour eviter les erreurs, il revise regulierement les listes en les faisant 
valider par les responsables. 

De cette maniere, les risques d’erreurs dans les listes sont limites, sans toute- 
fois etre elimines. 

Documents types 


Plan de communication 

Voici a quoi un plan de communication peut ressembler. 


Plan de communication de crise 

1. Objectifs de la communication de crise 

2. Responsabie et coordinateur 

3. Conditions de declenchement de ce plan 

4. Message a transmettre 

4.1. Information generate 

a. Evenement 

b. Impacts identifies 

c. Situation (a actualiser) 

4.2. Demandes particulieres 

a. Aux employes 

b. Aux partenaires d'affaires 

c. Aux clients 

d. Au public 

e. Aux parents, families 

4.3. Qui contacter et comment ? 

a. Pour en savoir plus 

b. Pour signaler une information 

5. Moyens de communication 

5.1. Presse, TV, radio 

5.2. Telephone 

5.3. Internet, Web, e-mails 
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6. Informations generates de reference 

6.1. Sur I'entreprise 

6.2. Sur le site 

7. Frequence 

7.1. Selon le media 

7.2. Prochain communique 

8. Validation et autorisation 

8.1. Quivalide? 

8.2. Qui est habilite a communiquer? 

9. Trace de ce qui est communique (notes, enregistrements) 


Plan de secours 

Void un modele de plan de secours, mis en oeuvre par le groupe d’ intervention 
de secours (qui depend ou pas, selon les cas, du PCA). 

Ce plan, comme le plan de communication de crise, peut etre joint aux docu- 
ments annexes du plan de continuite. 

Plan de secours 

1. Cadrage 

2. Responsabilites et perimetre 

3. Personnel sur site et visiteurs 

4. Equipe de secours : missions et responsabilites 

5. Employes : responsabilites et comportements 

6. Declenchement de la procedure de secours 

6.1. Activation de I'equipe de secours 

6.2. Avertissement des autorites 

6.3. Alerte et evacuation du personnel 

7. Procedures d'evacuation 

7.1. Signal d'alarme 

7.2. Systemes automatiques (exemple : fermeture de portes) 

7.3. Voies d'evacuation 

7.4. Personnel responsable de zone et d'evacuation 

7.5. Lieux de rassemblement 

7.6. Decompte des personnes 

8. Procedures de recherche et d'evacuation 

9. Procedures specifiques a un risque en particulier (tremblement de terre, nucleaire, 
produits speciaux a risque) 

10. Procedures speciales de mise en protection pour certains materiels 
Annexes : cartes, listes de personnels, numeros de telephone, etc. 




Chapitre 5 


PCA : planiFier 
les activites 


Le chapitre precedent a permis de determiner les missions a remplir et leurs 
groupes responsables. La planification proposee dans le present chapitre per- 
met de structurer les activitbs menees par chaque groupe dans le but d'accom- 
plir au mieux leurs missions. 

Le deroulement du plan de continuity est en effet conditionne par les imperatifs 
du compte a rebours : declenche au moment du sinistre, il egrene les minutes 
implacablement. La duree maximale d'interruption admissible (MTD) a ne pas 
depasser ayant ete determinee pour chaque processus critique de l’entreprise, le 
PCA doit permettre d'ordonnancer au mieux les travaux dans le temps imparti. 
C’est le but de la planification presentee dans ce chapitre. 

L’ensemble des activites decrites ici porte aussi le nom de PRA (plan de reprise 
d' activite). 


Planning general en sept etapes 


Le modele de planning generalement retenu propose un deroulement en sept 
etapes. Si toutes ces etapes sont necessaries, en realite, leur importance relative 
pourra varier d'une situation a l’autre : certaines etapes prendront une heure et 
d'autres plusieurs jours ; selon l'impact du sinistre, certaines seront plus ou 
moins utiles. Decrites ici dans leurs grandes lignes, chaque entreprise devra 
ensuite les adapter a sa propre situation. 

L’entreprise aura aussi tout interet a formaliser ce planning avec ses propres 
methodes de gestion de projet. Par exemple, elle peut proceder a un decoupage 
du projet en deux ou trois niveaux de structuration : chacune des etapes (pre- 
mier niveau) pourra etre structuree en plusieurs activites (deuxieme niveau), qui 
elles-memes pourront contenir plusieurs taches (troisieme niveau). Ce sont 
ensuite chacune de ces taches ou activites qui seront affectees a une personne 
ou a un groupe d'intervention decrit au chapitre precedent. 
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Le decoupage presente ci-apres presente une structure en deux niveaux : les 
etapes et les activites. 

Etape 1 - Premiere intervention et notification du sinistre 

Le declenchement de cette premiere etape ne va pas de soi. Lorsqu'un sinistre 
s’est produit, l'entite responsable de cette premiere mission doit en etre avertie. 
Or l'experience prouve que les personnes les plus proches du lieu du sinistre 
n’ont pas necessairement le bon reflexe d'appeler immediatement la personne 
ou le service adequats. Le plus souvent, les employes previennent leur superieur 
hierarchique et c’est lui qui enclenche la procedure divertissement des person- 
nes en charge de l'etape 1 du plan de continuite. 

Premiere intervention 

Le coordonnateur du plan de continuite est alerte et declenche le plan de conti- 
nuity. Les degats et leurs consequences sont rapidement evalues. Les activites a 
prevoir sont les suivantes : 

1 . recevoir l’alerte initiale a partir d’un centre d’appels, d’un help desk, d'un res- 
ponsable sur site ou des autorites locales ; 

2. avertir les secours locaux, ou verifier qu'ils ont bien ete avertis (pompiers, 
SAMU, police ou gendarmerie, etc.), afin d'assurer la mission de sauvegarde 
des personnes ; 

3. acceder aux documents et informations concernant le plan de continuite ; 

4. dans la mesure du possible, se rendre sur les lieux ; sinon, joindre un inter- 
venant local designe dans les listes de contacts ; 

5. collecter un minimum d’informations sur le site sinistre : est-il accessible ? 
Est-il joignable par telephone ? Le centre de gestion de crise est-il intact ? 

6. activer le groupe devaluation des dommages (voir le chapitre 4) ; 

7. realiser une premiere evaluation rapide des consequences du sinistre ; 

8. detecter rapidement les causes des degats (utile si on peut y pallier, sinon ne 
pas y passer trop de temps) ; 

9. conduire une evaluation rapide des impacts sur les activites de l'entreprise 
et lister ce qui ne fonctionne plus ; 

10. etablir un rapport preliminaire de sinistre. 

Ces activites sont presentees dans leur ordre logique d' execution, et doivent 
§tre affectees a divers intervenants. Cependant, le contexte reel du sinistre 
imposera souvent de faire avec les moyens du bord. 

Rapport de notification 

Cela consiste alors a alerter la direction generate et le centre de gestion de crise 
afin d’activer les equipes prevues dans le PCA (groupe de gestion de crise, etc.), 
comme cela a dt6 presente dans le chapitre 4. 
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Bien evidemment, le groupe de gestion de crise peut se reduire a quelques per- 
sonnes, voire une seule au tout debut. Cela depend beaucoup de la taille du site 
sinistre. On ne travaillera pas de la meme maniere sur un site de 5 000 person- 
nes avec 3 000 serveurs et sur un site de 20 personnes sans aucun materiel infor- 
matique. Le nombre de personnes et les competences a prevoir doivent etre en 
rapport avec le probleme pose. Constituer le groupe peut prendre un certain 
temps et il faut commencer a agir avant que tout le monde soit la. 

Le rapport produit a Tissue de cette premiere etape est capital, car il s'agit de la 
premiere information disponible sur le sinistre. De sa qualite dependra l'ade- 
quation des premieres actions mises en oeuvre. 

Afin de ne pas perdre de vue les imperatifs de rapidite et d’efficacite, ce rapport 
pourra etre mis en ligne sur Hntranet et ainsi etre accessible aux groupes 
d’intervention prevus. A cette etape, certaines societes insistent sur la confiden- 
tiality des evenements et la necessity de garder tout rapport secret. Il est alors 
important de rappeler par la meme occasion qui est habilite a parler a la presse 
a ce moment. 

Le rapport lui-meme est un constat sommairement detaille. En general, on y 
trouve une premiere evaluation des degats et des impacts sur Tentreprise, avec 
si possible une classification provisoire du sinistre selon les trois categories 
retenues (sinistre mineur, moyen ou majeur). Il contient aussi tout ce qui con- 
cerne les risques residuels sur les personnes, les biens et Tenvironnement. 
Enfin, il est utile d'y mentionner les moyens et equipements/services qui subsis- 
tent sur place pour intervenir. 

Etape 2 - Evaluation et escalade 

L’objectif de cette etape est d’affiner revaluation des degats afin de decider si, 
oui ou non, on lance les etapes ulterieures. Les activites suivantes peuvent etre 
realisees : 

1 . reprendre le rapport preliminaire de sinistre pour prendre connaissance des 
points en suspens ; 

2. inspecter le site sinistre pour evaluer plus precisement Timpact du sinistre ; 

3. evaluer les risques residuels sur la sante et la security des personnes et des 
biens ; 

4. lister les degats touchant aux batiments, aux machines, aux ordinateurs ou a 
tout autre moyen de production ; 

5. estimer les pertes materielles, meme grossierement ; 

6. determiner les processus metier touches, en les considerant selon leur degre 
de criticite ; 

7. classer le sinistre en fonction de sa gravite (mineur, moyen, majeur, par 
exemple : voir le chapitre 4) ; 

8. si aucun processus critique n'est touche, n’effectuer Tintervention que 
jusqu'au point 9 et continuer a surveiller la situation et son evolution ; 
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9. etablir un rapport plus detaille ; 

10. activer les groupes de redemarrage des activites et de recuperation techni- 
que et operationnelle. 

Le rapport detaille donne les elements necessaires a la decision sur la suite des 
actions a entreprendre. 11 peut etre structure selon le plan type ci-dessous. 


Rapport detaille de sinistre 

1. Description rapide 

2. Niveau du sinistre (selon echelle) 

3. Processus critiques touches 

4. Pertes estimees 

5. Origine des degats (feu, inondation, seisme, attentat, etc.) 

6. Degre de deterioration 

a) des batiments et structures 

b) des processus de I'entreprise 

c) des materiels informatiques 

d) des moyens de production 

7. Etat d'usage du site touche 

8. Elements a risque sur le site touche 

9. Delai(s) estime(s) de remise en etat 


Souvent, ce plan est deja utilise dans le rapport preliminaire etabli & Tissue de 
l'etape 1, qui est alors un rapport detaille partiellement rempli. Certaines socie- 
tes fusionnent d'ailleurs les etapes 1 et 2 en une seule operation produisant un 
rapport intermediate. 

Ce formalisme peut paraftre un peu lourd dans une situation ou il faut agir vite. 
L’objectif n’est pas ici de remplir des centaines de pages, mais de decrire vite et 
bien la situation. Realiser et communiquer rapidement un bon descriptif evite 
d'etre sans arret interrompu par des demandes de renseignements telephoni- 
ques qui encombrent les lignes et surchargent les operationnels. Le temps 
passe a rediger le rapport represente done une economie de temps. 

Enfin, si I'entreprise a des clients ou des partenaires touches par les evene- 
ments, ce rapport est une piece importante a produire, car il sera etudie en cas 
d’audit ulterieur. 

Etape 3 - Declaration de sinistre 

Si le rapport en constate la necessite, la societe decide d'activer l’etat de sinis- 
tre. Cette decision concerne tout d’abord les actions de reprise a lancer, en refe- 
rence a la strategie de continuite de I'entreprise (voir le chapitre 3), puis 
Tactivation des ressources necessaires a leur realisation. 
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Communique 

Le communique de declaration de sinistre emis a cette occasion peut etre struc- 
ture a partir des activites suivantes : 

1 . reprendre les elements du rapport detaille ; 

2. parmi les options determinees dans la strategie de continuity de 1'entreprise 
(vues dans le chapitre 3), selectionner les plus adaptees a la situation : que 
fait-on sur le site principal ? Active-t-on le site de secours ; si oui qu’y fait- 
on ? Ou place-t-on le centre de gestion de crise ? etc. ; cette operation peut 
etre scindee en autant de parties qu’il existe de sites (principal, de secours, 
mobile, etc.) ; 

4. realiser un communique d'etat de sinistre (voir le plan ci-apres) ; 

5. diffuser ce communique via le groupe prevu a cet effet ; 

6. avertir le groupe de communication de crise. 

Le communique d'etat de sinistre peut avoir la structure type suivante. 


Communique d'etat de sinistre 

1. Description rapide du sinistre 

2. Lieu et heure de I’evenement 

3. Niveau du sinistre (sur I'echelle a rappeler) 

4. Options de reprise choisies 

5. Informations sur les sites de reprise 

6. Estimation du temps de reprise necessaire pour chaque processus 

7. Norn de I'entite en charge du communique 

8. Contacts, moyens de s’informer 


Cette etape est cruciale et n'est pas facile a vivre. La communication a lieu au 
sujet du sinistre et des moyens d'y faire face. 11 faut, de plus, prendre des deci- 
sions a partir d’informations en general incomplhtes et y impliquer la direction 
generate de 1'entreprise. 

L’evaluation des temps de remise en etat, par exemple, est souvent un piege. 
Pour decider vite et bien, on est en effet amene parfois a caricaturer la situation 
ou, a l'inverse, la sous-estimer. 

Sous-estimation des degats : un risque supplemental 

La societe ITF possede des bureaux dans un batiment situe pres d'un fleuve. Ce batiment 
heberge aussi un centre informatique (pour serveurs Unix et Intel). Un peu plus haut se 
situe I'ancien centre informatique ou des mainframes IBM sont encore en activite. 

Une inondation touche le batiment de bureaux mais epargne I'ancien centre. A ce stade, 
la declaration de sinistre prevoit de reloger les employes et d'activer un centre de secours 
pour les serveurs Unix et Intel. Les informaticiens pensent que le site des mainframes ne 
sera pas touche, aucune mesure importante n’est done prise le concernant : il suffit sim- 
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plement de retablir les connexions entre les deux salles qui s'echangeaient des fichiers 
regulierement, operation ne demandant pas plus de vingt-quatre heures. 
Malheureusement, I'eau continue de monter et I'alimentation electrique du centre IBM 
doit etre coupee un peu plus tard pour des raisons de securite. Les mainframes, bien 
qu'au sec, ne fonctionnent plus... En catastrophe, IFT doit employer des mainframes de 
secours chez un autre prestataire, ce qui lui coute beaucoup plus cher que si elle avait 
envisage des le debut la perte complete de son systeme informatique sur les deux sites - 
sans compter la perte de temps en hesitations et travaux inutiles. 

Moralite : il vaut mieux parfois simplifier le probleme pour travailler au plus tot a une 
solution externe plutot que chercher a sauver ce qui sera finalement perdu. 

Les situations de panne franche ou de catastrophe provoquant des dommages 
materiels evidents sont, de ce point de vue, plus faciles a gerer : on ne se raccro- 
che pas a 1'espoir de redemarrer dans cinq minutes. Si l'on tarde a decider de 
passer sur un site de secours, c’est generalement que l'on fait le pari d'un rede- 
marrage du site principal dans un delai raisonnable. Si ce pari echoue, le temps 
d’attente est finalement du temps perdu. 

Activation du plan 

Le communique est accompagne par le declenchement concret du plan de con- 
tinuite. Le groupe de gestion de crise a normalement ete active en fin d'etape 1 , 
meme si, en pratique, il se limite a ce stade a un responsable senior de l'entre- 
prise, qui, bien souvent, n'est pas encore sur place, et a quelques responsables 
locaux du site concerne. 

Il faut maintenant activer les groupes d’intervention prevus dans le plan (voir le 
chapitre 4). Bien evidemment, en fonction du probleme pose et dans un objectif 
d'efficacite, l'equipe sera de taille differente : cinq a sept personnes peuvent tres 
bien assumer les diverses missions suite a un sinistre mineur, tandis que si 
celui-ci est plus complexe (plusieurs sites touches, avec des implications con- 
tractuelles graves en termes de continuite de service ou de securite), la taille de 
l'equipe sera d’autant plus consequente. 

Dans les entreprises les mieux organisees, il existe aussi des consignes de dele- 
gation de pouvoirs entre responsables nationaux et locaux, selon la gravite du 
sinistre. Cela peut etre crucial dans les cas oh le site sinistre est isole du reste du 
monde ou s’il se trouve h 1'etranger. 

L'activation du PCA se decoupe done en quatre activites principales : 

1 . determiner les personnels qui vont constituer les groupes pour mener les 
actions a venir ; 

2. rappeler le niveau de gravite du sinistre et ce qu'il signifie ; 

3. rappeler ou etablir les circuits de decision et de reporting ; 

4. indiquer les moyens de reporting et de suivi des actions. 

Cette etape implique souvent de faire un choix, en vue de la constitution des 
equipes, entre les personnes idealement pressenties pour gerer la crise mais pas 
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disponibles dans l'immediat, et les personnes disponibles dont le profil differe 
quelque peu de ce qui est souhaite. Pour remedier a ce type d’inconvenients, le 
point 2 ci-dessus permet, dans certaines entreprises, de liberer immediatement 
des responsables en cas de gravite maximale, par exemple. 

Etape 4 - Planifier la logistique d'intervention 

A ce stade, un embryon d'equipe est en place et les options de reprise ont ete 
selectionnees au cours des etapes precedentes. 11 s’agit maintenant, a partir de 
la documentation produite, meme succincte, de mettre en oeuvre les moyens 
techniques et humains pour les realiser. 

Desormais, les operations vont se concentrer sur trois sites : le site sinistre, le 
site de secours et le centre de gestion de crise. Il taut done planifier la logistique 
ainsi que les moyens humains et techniques necessaires aux interventions sur 
ces trois types de sites. 

Logistique 

Gerer la logistique implique les activites suivantes : 

1. activer les contrats concernant les sites de secours choisis chez des 
prestataires ; si les sites sont internes, commencer leur preparation ; 

2. s'assurer que les sites ont les moyens de communication appropries ; en cas 
de besoin, completer ce qui existe ; 

3. decider rapidement du meilleur emplacement pour le centre de gestion de 
crise et, selon le contexte, en prevoir eventuellement deux (un mobile, puis 
un fixe) ; 

4. passer commande ou demenager les divers materiels necessaires pour equi- 
per les sites (PC, imprimantes, fax, papier, etc.) ; 

5. lancer les eventuels demenagements prevus pour meubler les sites de 
secours ; 

6. s'assurer que les sites de secours possedent les dernieres versions des docu- 
ments (plan de continuite, listes de contacts) ou formulaires concernant les 
procedures manuelles ; 

7. prevenir les sites de secours de l'arrivee d'elements sensibles tels que des 
sauvegardes, dossiers importants ou elements confidentiels ; determiner a 
cet effet un contact sur place. 

Moyens humains 

En ce qui concerne les employes, il faut constituer les differents groupes et pre- 
voir leurs deplacements sur les divers sites. Cela consiste a : 

1 . determiner, en fonction des groupes k activer, les employes disponibles, pro- 
ceder aux affectations puis avertir les interesses ; 

2. prevoir les deplacements et 1’ intendance (voiture, train, hotel) ; 
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3. prevenir le responsable de la securite informatique pour que les droits 
d'acces en situation de crise soient attribues correctement et sous son con- 
sole. 

Comme le montre l'exemple ci-apres, ce dernier point, qu'il importe d’aborder 
sereinement, est souvent difficile a gerer. Il faut done prevoir des procedures 
speciales pour les situations de crise. 

Importance des droits d'acces en situation de sinistre 

La societe CDE teste son plan de reprise : elle simule la perte d'un site et I'activation 
d’environnements mainframe eloignes de 200 km. 

Au bout de quatre heures, les machines sont en etat de marche sur le site de secours et 
les connexions reseau sont realisees. Malgre tout, les ingenieurs systemes de CDE ne peu- 
vent s'y connecter pour faire leur travail : ils n'ont ni les droits, ni les mots de passe I 
Insistant pour obtenir des droits d'acces, ils sont contraints par la hierarchie a remplir les 
demandes officielles, traitees en urgence. Deux jours plus tard, les droits sont ouverts et 
les ingenieurs systeme peuvent enfin parameter les environnements techniques. Le test 
a finalement dure trois jours au lieu d'un seul prevu initialement. 

Moralite : ces tests ont amene CDE a modifier les procedures d’attribution des droits en 
cas de sinistre. On remarquera que les procedures en place ont ete correctement respec- 
tees au cours de cet exercice, ce qui a permis de decouvrir le probleme. Rien n'aurait ete 
plus simple, en effet, de passer outre. 

L'ensemble de ces activites fait partie de la responsabilite du groupe de gestion 
de crise. 

Etape 5 - Recuperation et reprise 

L’etape precedente a prepare les activites qui vont etre realisees dans l'etape 5. 
Cette derniere se deploie sur tous les sites concernes, qui peuvent etre : 

• le site original sinistre ; 

• un site de secours informatique ; 

• un site de secours pour les bureaux ; 

• un site de secours pour la production ; 

• le centre de gestion de crise ; 

• le domicile de certains employes. 

Presentons maintenant, site par site, la liste des activites. 

Activites sur le site sinistre 

Sur ce site, il faut avant tout arreter la propagation des dommages, securiser la 
situation et enfin recuperer ce qui peut l’etre. Souvent, il arrive aussi qu’on 
puisse y retrouver des lots de sauvegarde ou des documents importants sous 
diverses formes. 

On peut distinguer quatre categories d’activites, selon qu’elles touchent & la 
preparation, revaluation des degats, la sauvegarde et la recuperation ou le 
transport des divers equipements recuperes. 
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Preparer 

Toutes ces activites sont un prealable aux actions sur site : 

1 . s'assurer que le personnel prevu se trouve sur place et a les moyens d’agir 
(droits d'acces, protections diverses, etc.) ; 

2. s'assurer que les configurations informatiques critiques sont localisees et 
connues : serveurs, systeme de stockage, reseau, etc. ; 

3. s’il existe des schemas d' infrastructure et de reseau, les communiquer au 
personnel sur place ; 

4. prendre connaissance des rapports deja emis sur le sinistre, des consignes 
de securite, etc. 

Evaluer, expertiser 

II s’agit maintenant d'evaluer plus precisement l’ampleur des degats dans le but 

de savoir comment y faire face : 

1. inspecter l'etat des batiments, des alimentations en electricite, gaz et eau ; 
evaluer les risques residuels ; 

2. identifier les dossiers critiques, leur etat et les risques qu’ils encourent (eau, 
moisissure, feu, etc.) ; 

3. localiser et identifier les materiels critiques (informatiques ou non), leur etat 
et les risques qu’ils encourent ; 

4. rechercher et evacuer les sauvegardes critiques, si elles sont sur le site, afin 
de les garder sous surveillance ; 

5. evaluer le risque de degradations pouvant encore survenir (ecroulements, 
montee des eaux, etc.) ; 

6. determiner les options de protection et de recuperation qui semblent les 
plus appropriees, en chiffrer les delais et cofits si possible ; 

7. documenter rapidement tout ce qui precede, que ce soit par une prise de 
notes, une liste avec points de controle, un formulaire, un enregistrement 
audio, etc. 

Sauvegarder et recuperer 

On entreprend ici les premieres actions de recuperation du site, afin d'eviter que 

celui-ci ne se degrade davantage : 

1 . se procurer et mettre en fonctionnement les divers equipements necessaires 
(pompes a eau, generateurs electriques, systemes de chauffage, deshumidifi- 
cateurs d'air, bennes a ordures, pelleteuses, camionnettes, etc.) ; 

2. eliminer les diverses substances a risques ou trop degradees (carburants, 
papier imbibe d'eau, etc.) ; 

3. evacuer et mettre en lieu stir les equipements en bon etat qui sont menaces 
s’ils restent sur le site ; 

4. mettre dans un etat securise les equipements encore en fonctionnement 
mais inutiles ; 
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5. verifier la situation des equipements en bon etat et utiles puis les restaurer 
dans l'etat souhaite ; 

6. documenter ce qui est fait. 

Transporter 

Ces activites ont pour objectif de demenager sur le ou les sites de secours ce qui 
a ete recupere et doit encore servir : 

1. pour chaque element (materiels, documents, sauvegardes, meubles, etc.), 
determiner le site de destination parmi les sites prevus ; 

2. accompagner chaque transport de materiel de consignes specifiques sur la 
prise en charge, la manutention, les precautions d'emploi, l’usage a destina- 
tion et le nom du receptionnaire ; 

3. effectuer ou faire effectuer le transport ; 

4. pour les sauvegardes ou documents ayant un niveau de securite eleve, res- 
pecter scrupuleusement les consignes ou, a defaut, les faire accompagner 
par un membre de 1’entreprise. 

Toutes ces activites doivent tenir compte du fait que certains processus sont cri- 
tiques et necessitent une remise en route plus rapide que d’autres. La priorite 
devant etre donnee aux processus les plus urgents, il faudra done, dans certai- 
nes situations, prendre une decision privilegiant les moyens techniques neces- 
saires aux processus critiques de l'entreprise. C'est pourquoi il est important 
que l’equipe sur place connaisse precisement les processus critiques et identifie 
rapidement les moyens qui leur sont lies. 

Tout probleme rencontre doit etre decrit succinctement par ecrit, car cela servira 
a ameliorer le plan par la suite. 

Activites sur le site de secours informatique 

Le site de secours informatique doit etre pret a accueillir ou activer des mate- 
riels nouveaux. Il faut done preparer le cadre, installer les materiels et logiciels, 
puis demarrer et restaurer les applications critiques dotees de donnees conve- 
nables. 

Les besoins en termes de delais (MTD, RTO, RPO et WRT, expliques dans le cha- 
pitre 2) ont ete specifies ; il en va de meme des configurations materielles et 
logicielles necessaires. 

Preparer 

Les activites suivantes visent h s'assurer que tout est pret pour redemarrer le 
systeme d'information : 

1. s'assurer que le groupe d’ intervention est arrive sur place et est bien 
operationnel ; 

2. verifier que les differents delais (MTD, RTO, RPO et WRT) et priorites sont 
connus du groupe ; 
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3. verifier que les listes d'inventaires et les configurations materielles et logi- 
cielles necessaires sur le site de secours ont bien ete communiquees au 
groupe ; 

4. s'assurer que les methodes de redemarrage, les instructions de parametrage 
et les eventuels outils (scripts, etc.) sont en la possession du groupe, ou con- 
nus de lui ; 

5. verifier que l'infrastructure (racks, cables, fourniture electrique, plateaux, 
refroidissement) est convenablement preparee ; 

6. recevoir les materiels et logiciels divers qui ont ete envoyes sur le site en 
s'assurant de leur conformite ; 

7. prendre connaissance des consignes associees aux materiels ; 

8. recevoir et securiser les medias de secours : les cartouches de sauvegardes, 
les valises de bandes, etc ; les inspecter et les mettre en lieu sflr ; 

9. faire un bilan general en comparant ressources prevues et ressources 
presentes ; 

10. planifier la suite des operations en fonction de ce bilan et des priorites des 
processus ; 

1 1 . s'assurer que les droits d’acces necessaires aux travaux ont bien ete attri- 
bues. 

Arrive a ce stade, il est malheureusement courant de constater des ecarts entre 
ce qui est prevu et ce qui est reellement disponible. Il faut alors documenter ces 
ecarts pour effectuer des reclamations aupres des prestataires et ameliorer les 
listes d’inventaire et le plan de continuity. 

Les points 2 a 1 1 peuvent etre executes en parallele par des equipes dediees 
chacune a une categorie de materiels (reseau d’un cote, serveurs de l'autre, par 
exemple) ou bien a une categorie de processus ou d'applications. 

Rappelons que les droits d'acces sont un point sensible. Des procedures assez 
simples, avec des identifiants et mots de passe utilisables en cas d'activation de 
plan de secours et conserves sous enveloppe cachetee, peuvent faire 1'affaire. 
Tout ceci doit avoir ete fait sous le controle du responsable de la securite du sys- 
teme d’information (RSSI). 

Mettre en route l’informatique et le reseau 

Il ne sert a rien de demarrer un serveur de secours s'il reste inaccessible via le 
reseau. Il est done indispensable de remettre en fonctionnement ensemble 
informatique et reseau, en suivant la procedure indiquee ci-dessous : 

1. etudier le plan d’ implantation en salle des serveurs des machines de stoc- 
kage et de leurs connexions ; 

2. etudier les plans et cheminements des reseaux ; 

3. effectuer les connexions physiques et brassages necessaires ; 
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4. initialiser les serveurs qui ont besoin de 1'etre, demarrer les systemes 
d'exploitation, executer les diverses procedures d'installation, de parame- 
trage ou de creation d’images disques ( imaging ) ; 

5. effectuer le parametrage reseau des divers routeurs ou commutateurs ; 

6. realiser les connexions du reseau de stockage SAN ( Storage Area Network) ou 
necessaires au stockage en reseau NAS ( Network-Attached Storage ) pour les ser- 
veurs qui en sont pourvus ; 

7. configurer les sous-systemes (systemes de gestion de bases de donnees, sys- 
tbmes de fichiers, serveurs d'applications, moniteurs transactionnels, etc.), 
en utilisant au besoin les scripts ou procedures preparees a cet usage ; 

8. mettre en place les protections de securite (pare-feu, anti-virus, etc.) ; 

9. activer les liens avec les bureaux de secours ou les divers sites a couvrir ; 

10. tester l’ensemble des operations precedentes. 

Ces taches sont pour la plupart bien connues des ingenieurs systeme, a la diffe- 
rence qu'ici, les travaux sont menes avec un niveau de stress inhabituel. Par 
ailleurs, il se peut que les materiels ne soient pas ceux auxquels les ingenieurs 
systeme sont accoutumes. Tout cela accroit les risques d’erreur et le travail en 
binome, s'il est possible, est done vivement recommande. 

En cas de tSches hautement repetitives (lignes de commande a passer a l’identi- 
que sur des dizaines de serveurs, par exemple), on aura recours a des scripts de 
commandes. Encore faut-il les avoir prevus suffisamment longtemps a l'avance 
et pouvoir y acceder. Les scripts permettent aussi de reduire les erreurs de 
frappe. 

Restaurer les applications critiques 

L'infrastructure etant en place, il faut maintenant restaurer les applications en 
commengant par les plus critiques : 

1 . revoir la liste des priorites de restauration des applications ; 

2. etudier la ou les procedures d'installation, de lancement de l’application et 
de recuperation des donnees ; 

3. verifier les droits d’acces administrateur et systeme ; 

4. verifier la maniere dont les utilisateurs et leurs droits sont geres ; 

5. restaurer ou installer les applications critiques et parametrer 1’environne- 
ment en consequence ; 

6. restaurer les donnees a partir du point de reprise prevu puis proceder aux 
verifications de coherence et d'integrite prevues dans le plan ; 

7. appliquer, si cela est prevu et realisable, les traitements complementaires 
pour remettre les donnees dans un etat proche de celui ou elles se trouvaient 
au moment de la panne ; 

8. a partir d'un identifiant d'utilisateur de test, verifier que le fonctionnement 
des applications est correct ; 


Chapitre 5 - PCA : planiFier les activities 


9. a partir du site oh se trouvent les utilisateurs, verifier le fonctionnement a 
distance ; 

10. prevenir les utilisateurs que [’application est accessible et leur indiquer les 
restrictions eventuelles. 

Dans le cas d'un systeme de miroir distant, de routage d'entree/sortie ou de tout 
autre mecanisme assurant une bonne disponibilite (voir le chapitre 8), les activi- 
tes precedentes sont simplifiees de fapon significative. 

La encore, les difficultes rencontrees seront documentees par ecrit. Parmi les 
anomalies, il est courant de constater que seule une partie de ['infrastructure 
peut etre retablie : cela necessite alors une analyse supplementaire pour deter- 
miner ce qui, malgre tout, peut etre remis en marche. 

Activates sur le site de secours de bureaux 

Le site de secours de bureaux doit etre pret a accueillir des employes prives de 
leur site habituel. Les activites consistent a organiser les lieux, installer des 
materiels qui sont livres et mettre le tout en etat de marche. 

Les besoins en termes de delais (MTD, RTO, RPO et WRT, voir le chapitre 2), 
ainsi que les besoins materiels (PC, bureau, formulaires, etc.), ont ete specifies 
auparavant. 

Preparer 

Il s'agit d’assurer la preparation des intervenants qui inspecteront et organise- 
ront les locaux : 

1. s’assurer que le groupe d'intervention est arrive sur place et est bien 
operationnel ; 

2. verifier que les differents delais (MTD, RTO, RPO et WRT) sont connus du 
groupe ; 

3. verifier que les inventaires materiels des besoins sur le site de secours ont 
ete communiques au groupe. 

Une fois tous les elements entre les mains du groupe d'intervention, celui-ci 
peut s'acquitter des taches suivantes : 

4. inspecter ce qui existe sur place et detecter les manques ; 

5. recevoir les envois (en provenance du site sinistre) et prendre connaissance 
des consignes associees ; 

6. recevoir les nouveaux materiels prevus (PC, commutateurs reseau, serveurs 
bureautiques, etc.) ; 

7. en fonction des manques, commander le necessaire ou chercher une alterna- 
tive dans l'entreprise. 

Le groupe, desormais en connaissance de ce dont il dispose, ce qu'il va recevoir 
et quand, peut alors commencer a agir. 
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Installer les materiels de bureau et les moyens informatiques 

II faut commencer tout d'abord par les activitbs d'installation suivantes : 

1 . consulter les plans d’amenagement des bureaux pour les meubles, les PC et 
le reseau local, puis etudier les plans de cablage ; 

2. installer les meubles dans les bureaux, avec les fournitures, puis y affecter 
les employes ; 

3. installer et parameter le reseau local et les PC ; 

4. etablir les connexions au reseau general de l’entreprise ; 

5. demarrer les PC, eventuellement en mode client leger (voir le chapitre 9) et 
non en mode habituel ; 

6. parametrer la telephonie pour accueillir les nouveaux venus ; 

7. si possible, router les appels entrants de l'ancien site vers le nouveau site de 
secours ; 

8. mettre a disposition les dossiers critiques ou les CD/DVD-Rom importants 
provenant des sites oil ils etaient conserves ; 

9. indiquer aux nouveaux venus un numero a appeler ou un lieu ou se rendre, 
en cas de demande ou probleme. 

Au cours de ces activites, on veillera a respecter les priorites des processus criti- 
ques, en commengant par traiter les quelques utilisateurs prioritaires, par exemple. 
D'un point de vue technique, si le degre de preparation du site est insuffisant 
pour un equipement parfait, il est possible de recourir a des solutions provisoi- 
res, telles que celles utilisees pour les cablages notamment (colies a l'adhesif 
sur les plinthes au lieu d'etre loges en goulotte par exemple). Il est essentiel que 
les schemas de cablage disponibles soient a jour et de bonne qualite. 

Importance de la validite des plans de cablage 

La societe EBU active son plan de secours et amenage rapidement un immeuble de 
bureaux en partie desaffecte pour y installer les employes d'un site sinistre. 

Le technicien en charge du cablage intervient, plan en main, dans les sous-repartiteurs, 
pour modifier les connexions afin d'y ajouter les nouveaux venus. Tres vite, certains 
employes travaillant sur le site depuis longtemps se plaignent de I'impossibilite de se con- 
necter au reseau. La pagaille se generalise. 

Le technicien constate vite que son plan de connexion est faux. II arrive tout de meme a 
revenir en arriere pour retablir les connexions initiales. Les nouveaux venus, eux, devront 
se contenter quelques jours de cables volants courant sur la moquette et de connexions 
lentes. 

Moralite : ('utilisation d’un plan non valide s’avere nefaste et empeche de cabler en fonc- 
tion de I’existant. II est done primordial de maintenir a jour les plans de cablage. 

Mettre en marche le systeme 

Les operations suivantes consistent a restituer a l'utilisateur son environnement 
de travail, meme incomplet pendant un certain temps : 
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1. restaurer les postes de travail (PC, en general) avec les applications, don- 
nees, identifiants et mots de passe prevus ; 

2. mettre a disposition les dossiers critiques sous la forme prevue (papier, CD- 
Rom, DON, etc.) ; 

3. mettre a disposition les procedures, formulaires ou documents necessaires a 
un travail en mode deconnecte, tant que le reseau ou les serveurs ne sont 
pas prets ; 

4. traiter les demandes ou les transactions a la main, comme cela est prevu en 
cas d’indisponibilite du systeme informatique ; 

5. conserver ce qui sera necessaire a une saisie informatique Iorsque le sys- 
teme general sera de nouveau disponible ; 

6. iorsque le systeme informatique est de nouveau fonctionnel, en tester les 
points essentiels selon la procedure metier, puis verifier ce qui a ete ou non 
pris en compte ; 

7. une fois que c’est possible, saisir les donnees manquantes dans le systeme 
informatique, en fonction de ce qui a ete realise aux points 4 et 5 ; 

8. Passer en mode de travail normal une fois la situation completement recupe- 
ree. 

En resultat de cette sequence d'actions, il arrive souvent que le systeme fonc- 
tionne un peu differemment de 1'habitude : plus lent, moins ergonomique et 
encore incomplet, puisque bien que non perdues, certaines donnees ne sont 
pas encore disponibles. Il existe deux raisons k ce phenomene : 

• le poste de travail fonctionne souvent en mode degrade avec un PC plus 
ancien, avec des applicatifs en mode dit « client leger », ce qui degrade le 
temps de reponse et le confort graphique ; 

• il n'est pas toujours evident de pouvoir entrer dans le systeme les donnees 
traitees a la main - plus precisement, cela ne peut souvent pas etre effectue 
par un utilisateur standard, car cela necessite des autorisations d’un niveau 
plus eleve qui ne pourront etre attributes que plus tard. 

Tout evenement marquant, ou fait ayant pose probleme, devra une fois encore 
etre consigne par ecrit. 

Activites sur le site de secours de production industrielle 

Une certaine analogie existe entre le site de secours de production industrielle 
et le centre informatique : dans les deux cas, il faut preparer les intervenants et 
les lieux, reactiver ou demenager du materiel et enfin le mettre en marche, le 
tester et le transmettre aux utilisateurs. 

Preparer 

Realisees pour la plupart par le groupe d'intervention, les activites suivantes 
consistent a mettre le site en etat de production : 
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1. s'assurer que le groupe d’ intervention est arrive sur place et est bien 
operationnel ; 

2. verifier que les differentes contraintes de delais (MTD, RTO, RPO et WRT, 
expliques dans le chapitre 2) sont connues du groupe ; 

3. controler que le site de secours repond aux normes et aux diverses exigences 
en vigueur dans l'entreprise pour une production de la qualite voulue ; 

4. s'assurer que les zones de stockage sont convenables, en particulier pour les 
matieres a risque ; 

5. s'assurer que les dispositifs de securite sont appropries ; 

6. verifier ['infrastructure, l'approvisionnement en electricite et la presence des 
sources d’energie prevues ; 

7. verifier que les listes faisant l'inventaire des besoins materiels sur le site de 
production de secours ont bien ete communiquees au groupe ; 

8. inspecter le materiel sur place et verifier qu'il convient : quantite, caracteris- 
tiques. . . - penser aux moyens de manutention, tres sollicites au debut ; 

9. detecter les eventuels ecarts et manques, et en etablir une liste en vue d’une 
action ulterieure ; 

10. receptionner les equipements, verifier les contenus, lire les procedures et 
conduites a tenir ; 

1 1 . receptionner les pieces, outils et tout autre materiel necessaire ; 

12. detecter et noter tout ecart entre ce qui etait prevu et ce qui a ete regu. 
L'absence de certains equipements ou materiels peut avoir des consequences 
paralysantes graves ; par exemple, l’insuffisance de moyens de manutention 
peut ralentir voire arreter les operations. A ce stade, ce probleme peut etre par- 
tiellement resolu en faisant appel a des fournisseurs locaux. 11 est preferable, 
cependant, d'avoir prevu des 1'etablissement du plan de continuite une quantite 
suffisante d'equipements critiques. 

Mettre en marche 

Les activites realisees au cours de la phase de mise en marche permettent de 
rendre le site de production operationnel : 

1 . etudier le plan d'occupation au sol et attribuer les emplacements ; 

2. installer et mettre en etat de fonctionnement les machines et outillages ; 

3. repartir les stocks de matibre premiere, les pieces et autres ressources 
indispensables ; 

4. recuperer les procedures, consignes et descriptions des gammes de produits 
a partir des copies conservees en secours ; 

5. installer et rendre operationnels les telephones, fax, telecopieurs, etc., puis 
router les communications ; 

6. mettre en place les eventuels ordinateurs, imprimantes et connexions de 
reseaux locaux ou longue distance. 
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Tester et demarrer 

Ces activites permettent de tester ['installation du site pour lui permettre de 
demarrer dans les meilleures conditions : 

1 . tester les differents equipements ; 

2. tester les produits obtenus via ces equipements ; 

3. agencer la logistique du site, retirer ce qui ne sert plus ; 

4. tester les moyens de telecommunication, le systeme informatique et la 
bureautique ; 

5. demarrer la production sur le site de secours. 

Afin d'alimenter un bilan ulterieur, il est une fois encore bon de tenir une main 
courante des evenements. 

Activites au centre de gestion de crise 

Le centre de gestion de crise doit etre amenage de fagon a tenir son role de 
quartier general. Il est conseille d'y avoir prevu l'essentiel a l’avance. Les premie- 
res activites consistent a tout mettre en place, tandis que les activites suivantes 
se repartissent sur divers poles de preoccupation comme : 

• le pilotage des interventions sur les divers sites ; 

• la communication ; 

• le pilotage des moyens humains ; 

• le suivi financier, le suivi des assurances, ainsi que les aspects juridiques et 
legaux ; 

• ['amelioration du plan de continuity en soi. 

Ces activites sont a mener dans les tout premiers temps apres l’occurrence du 
sinistre. 

Mise en etat du centre de gestion de crise 

L'etape 4 a permis de decider de l’emplacement du centre de gestion de crise, 
qu'il s'agisse d'un local deja prevu a cet effet, d'un conteneur de bureaux mobile 
ou bien d’un hotel. Il s’agit desormais de le preparer, via les actions suivantes, 
pour le rendre operationnel : 

1. activer la mise a disposition du centre, c’est-a-dire ressortir les elements 
importants normalement conserves sur place de leur lieu de conservation 
pour les rendre fonctionnels ; 

2. avertir les employes attendus sur place ; 

3. une fois sur place, verifier que les equipements sont corrects ; 

4. si besoin, faire etablir l'electricite par le reseau ou par des generateurs ; 

5. au besoin, mettre en place les meubles, equipements et fournitures 
diverses : bureaux, PC, tableaux, telephones sur trois lignes (entrante, sor- 
tante et de secours), etc. ; 
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6. preparer les documents et materiels specifiques a la gestion de sinistre : pro- 
cedures, plan de continuite (papiers, classeurs), projecteur, listes de contacts 
et eventuellement des moyens radio ; 

7. recuperer, depuis les sites de conservation, les dossiers critiques et les pro- 
cedures speciales en vigueur ; 

8. prevoir le deplacement du centre, si ce site n’est que provisoire. 

Pilotage des interventions 

Piloter les diverses interventions est un role important - sinon vital - que le cen- 
tre doit permettre d'assurer (voir le chapitre4). Cela implique d'accomplir les 
actions suivantes : 

1. garder comme objectifs les durees d'interruption maximale admissibles 
(MTD) : pour chaque processus critique, ces MTD doivent etre connus et le 
temps ecoule doit etre mesure ; 

2. constituer les groupes (voir le chapitre 4) et lancer les actions qu'ils doivent 
realiser en donnant objectifs et priorites ; 

3. suivre les actions realisees par les differents groupes sur les differents sites, 
en sollicitant des comptes rendus des groupes a intervalles reguliers ; 

4. evaluer et reevaluer les risques ; en garder une trace ecrite pour chaque 
groupe ; 

5. tenir un tableau d’avancement des actions sur chaque site, y compris le site 
sinistre ; 

6. repondre aux demandes des groupes : decider en cas de demandes d’orien- 
tation, de choix de priorite ; conseiller en cas d’incertitude et de demande de 
verification ; 

7. reorienter les actions, redistribuer les ressources en fonction de la realite du 
terrain et des evolutions constatees ; 

8. tenir k jour 1'evaluation des degats par rapport aux chiffrages initiaux : au fur 
et k mesure que les groupes travaillent, l’etendue exacte du sinistre se 
revele ; certaines estimations se confirment, d'autres sont a revoir ; 

9. obtenir certains documents (plans, inventaires, etc.) manquant aux groupes 
en action sur les sites, puis leur transmettre. 

Communication 

Situe aux premieres loges, le centre de gestion de crise est le lieu ou converge 
l’information correcte et ou elle est actualisee. Il est done naturel qu'il soit a la 
source des actions de communication sur le sinistre et son traitement et doit : 

1 . lancer le plan de communication de crise ; s’assurer de son execution (voir le 
plan type en fin de chapitre 4) ; 

2. maintenir a jour le tableau de suivi avec les moyens a disposition (tableau 
physique dans le couloir, site web, communiques par e-mails) ; cela permet 
d’eviter un certain nombre d’appels au centre, coflteux en temps ; 
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3. tenir le comite executif ou la direction generale regulierement au courant des 
evenements ; 

4. tenir informes les responsables cles des differents sites ou services concer- 
nes, en particulier ceux ayant connu des victimes ou ayant fourni des mem- 
bres aux groupes d'intervention. 

Suivi des moyens humains 

Les groupes d'intervention sont actifs sur le terrain et accomplissent les activi- 
tes et taches deja decrites par ailleurs. Au centre de gestion de crise, il reste a 
realiser les activites complementaires suivantes portant sur l’ensemble du 
personnel : 

1. maintenir a jour la liste des employes indisponibles (blesses, decedes, en 
vacances, renvoyes chez eux, etc.) ; 

2. fournir un soutien aux victimes et a leur famille (psychologique, medical, 
juridique, financier, etc.) ; 

3. maintenir a jour la liste des effectifs operationnels ; 

4. recourir d des tiers (societes de services ou d’interim) pour combler les man- 
ques en personnel ; 

5. comptabiliser le temps passe par les prestataires et les employes en heures 
normales et supplementaires ; 

6. s’assurer des changements d'equipes et du respect du droit du travail ; 

7. impliquer eventuellement des fournisseurs et des clients qui peuvent, en cas 
de coup dur, preter main forte ; il peut eventuellement s'agir d'entreprises 
voisines ou de partenaires commerciaux. 

Du bon usage d'un fournisseur 

La societe Metal-X subit une panne importante de son systeme informatique. Par conse- 
quent, sa gestion de stock et sa facturation sont inoperantes pour une duree estimee a 
une semaine. Or, Metal-X connaTt des problemes de tresorerie et aimerait bien pouvoir 
envoyer au moins les factures du mois. 

Client de la societe ITM qui fabrique des ordinateurs et des imprimantes, Metal-X a par 
ailleurs prevu de renouveler bientot un pare d'imprimantes. Son vice-president appelle 
done le directeur commercial d'UM, lui explique le sinistre subi et demande conseil. 

Le directeur commercial d'UM propose alors de preter une machine a Metal-X et de reali- 
ser chez lui I'impression des factures, de meme qu'il est parfois amene a le faire pour cer- 
tains gras prospects a titre de demonstration de ses nouveaux materiels. Quant a Metal- 
X, cela lui retire une belle epine du pied. 

Moralite : face a I'adversite, les fournisseurs aiment bien conserver des clients en forme. 
On a done la une demonstration d'interet reciproque bien compris. 

Suivi financier, juridique et des assurances 

Il s’agit d’une part de garder un oeil sur les depenses speciales generees par le 
sinistre et les actions de reprise, tout en defendant et preservant les interets de 
la societe. Dans une situation difficile de sinistre, il faut conserver des preuves 
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pour les assurances et les divers recours possibles. Cette phase d'operations 
implique notamment de : 

1 . suivre les engagements de depenses effectues par les canaux non habituels ; 

2. garder la trace des depenses effectuees, eventuellement ventilees selon 
divers criteres ; 

3. estimer les couts de reparation, de remplacement, de remise en etat ; 

4. effectuer une estimation financiere pour la direction generate ; 

5. prendre connaissance, avec les services concernes, des contrats d'assurance 
et de ce qu'ils prevoient en cas de sinistre ; 

6. faire les declarations en temps et en heure aupres des compagnies 
d'assurance ; 

7. commencer a monter les dossiers pour les assurances (prendre des photos, 
chiffrer les pertes d’exploitation, eventuellement faire dresser des constats 
d'huissier, etc.) ; 

8. detecter, si necessaire, les ecarts ou risques d'ecarts entre les evaluations de 
l’entreprise et celles des assurances ; 

9. impliquer le service juridique en leur faisant inspecter les differents contrats 
avec les clients et fournisseurs pour activer les demarches contractuellement 
ou juridiquement necessaires. 

Cas particulier : les societes de service informatique 

Dans le cas de societes de prestation de service informatique, le sinistre a normalement 
deja declenche, aupres des gestionnaires de clientele, des actions visant a avertir les 
clients et les utilisateurs dans les delais convenus. Ces societes se sont en effet contrac- 
tuellement engagees a des temps de disponibilite et ont mis en place des procedures 
d’escalade aupres des clients et des responsables internes pour remonter les incidents 
graves. Le sinistre presente toutefois la caracteristique d'etre un incident tres grave et tres 
long a reparer. C'est cet aspect exceptionnel qui doit etre communique au client pour 
qu'il prenne ses dispositions. 

Pour les societes plus traditionnelles, les perturbations concerneront davantage 
des aspects comme les delais de livraisons ou les dates d' expedition. Avertir les 
clients et fournisseurs dans ce cas n'est pas forcement un reflexe immediat et il 
vaut done mieux specifier ce point dans le plan de continuite. 

Amelioration du plan de continuite 

Le centre de gestion de crise heberge les responsables qui executent le plan de 
continuite. Ils sont done a meme d'y detecter les defauts, carences, erreurs et 
limites. L'objectif est ici d'ameliorer le plan. 

Tout au long des sept etapes, il est bon de noter en marge les ameliorations 
pouvant etre apportees au plan ; celles-ci peuvent concerner : 

1 . des ecarts dans la documentation ; 

2. des differences entre ce qui etait attendu et ce que Ton a trouve sur site (en 
termes de materiels, logiciels, etc.) ; 
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3. des aspects non couverts qu'il aurait ete bon d'inscrire dans le plan ; 

4. des points insuffisamment detailles ou, a l'inverse, des details inutiles ou 
incorrects ; 

5. des aspects materiels bloquants imprevus (par exemple, des materiels de 
secours sous cle alors que les cles sont introuvables) ; 

6. toute autre suggestion d’amelioration. 

Activites concernant les employes a domicile 

II est de plus en plus frequent que les plans de continuite d'activite prevoient 
qu'une partie du personnel travaille depuis son domicile. Il s'agit en general de 
cadres qui, a l’aide d’un PC ou d'un terminal, sont autorises a se connecter a des 
reseaux de l'entreprise ou a des services de partenaires divers. 

Plusieurs situations se presentent selon que l'employe dispose d’un portable de 
l'entreprise qu'il emmene chez lui ou bien qu’il recourt a un PC fixe lui apparte- 
nant en propre ou prete par l'entreprise. Dans tous les cas, les activites a prevoir 
sont : 

1. determiner les moyens techniques de l'entreprise mis a disposition de 
l’employe h son domicile ; 

2. assurer que la configuration est geree a long terme et permet un acces suffi- 
samment securise ; 

3. rendre le contrat de travail de l’employe compatible avec cet usage ; 

4. determiner les moyens d'acces au reseau de l'employe (ADSL a son nom, au 
nom de l'entreprise, etc.) ; 

5. proteger correctement le reseau de l'entreprise pour les usages prevus ; 

6. doter la configuration de moyens de protection et de security convenables ; 

7. determiner les applications utilisables de cette maniere ; 

8. attribuer et gerer les divers mots de passe ; 

9. prevoir des acces de secours au reseau hors de l'entreprise ; 

10. gerer la liste des sites web (URL) accessibles en cas d'activation du plan de 
continuite et la communiquer a tous les employes concernes ; 

1 1 . conserver et tenir a jour la liste des employes concernes. 

Bien evidemment, il faudra prevoir ces cas de figure dans les consignes d'utilisa- 
tion de l’informatique, en notant bien que les PC portables presentent un risque 
supplemental en raison de leur vulnerability au vol. 

Si ce type des dispositifs permet a des employes de travailler depuis leur domi- 
cile, rien ne dit cependant que le reseau de l'entreprise pourra les accueillir s’il a 
ete sinistre. En revanche, en cas de perte de locaux de bureaux, cette solution 
presente bien des avantages - d'autant qu'avec certains produits actuels, il est 
de plus en plus possible de travailler sur un PC en mode deconnecte et de se 
reconnecter, une fois le reseau a nouveau operationnel, pour envoyer le travail 
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realise a l'entreprise. Ce mode de fonctionnement doit done etre considere avec 
grand interet. 

Etape 6 - Retour a la normale 

A ce stade, le personnel a retrouve des locaux et des moyens informatiques et 
industriels pour travailler, tandis que les processus les plus critiques de l'entre- 
prise ont redemarre. Cependant, les moyens mis en oeuvre n'etant pas les 
memes qu'avant le sinistre, les donnees en ligne ne sont peut-etre pas totale- 
ment a jour. En effet, certaines informations qui ont ete notees a la main dans 
des formulaires ne sont pas encore inserees dans le systeme d’information, de 
meme que certaines donnees qui n'ont pas encore ete collectees dans leur tota- 
lity. 

L’entreprise fonctionnant en partie sur des moyens provisoires, le but est main- 
tenant de revenir a la situation d'avant le sinistre. De plus, les processus non cri- 
tiques n’ayant pas ete traites en priorite, ceux-ci ne fonctionnent peut-etre pas 
encore et necessitent done d’etre redemarres. C’est tout l'objet de cette etape de 
retour a la normale, qui va couvrir des activites pouvant etre regroupees en trois 
objectifs : 

• determiner la cible definitive (site, materiel) ; 

• reparer et preparer ; 

• operer la transition finale. 

On notera que certaines activites ont pu demarrer en parallele lors des etapes 
precedentes. 

Determiner les moyens definitifs 

Pour toutes les conditions provisoires d'exploitation (moyens et sites de 
secours), il s'agit de determiner les conditions cibles definitives : quelles condi- 
tions permanentes veut-on obtenir pour un retour de l'entreprise dans une 
situation equivalente a celle d'avant le sinistre ? 

Cela concerne tous les elements qui ont ete sinistres : le site informatique, le 
site de production industrielle et les bureaux. Dans une moindre mesure, cela 
vise aussi les donnees informatiques et les dossiers vitaux qui se trouvent peut- 
etre encore dans un etat de degradation pouvant etre ameliore. Voici une liste 
des activites k entreprendre dans ce but de cibler les besoins : 

1 . etudier les rapports d'inspection realises par le groupe de recuperation tech- 
nique et operationnelle durant la phase precedente, contenant notamment 
une evaluation des degats ; 

2. determiner les hypotheses realisables : retour sur le site d'origine ? deplace- 
ment sur un autre site ? rester sur le site secondaire et creer un nouveau site 
de secours ? 
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3. pour le systeme informatique : determiner les configurations cibles a mettre 
en place en termes de serveurs, stockage et reseaux - au vu des evolutions 
du marche, les configurations different souvent de celles d'origine ; 

4. pour les donnees : elaborer les plans de traitements ou de transactions 
necessaires pour remettre entierement les donnees d niveau - si ces traite- 
ments sont consommateurs de temps de calcul, etudier de quelle fagon 
obtenir le surcroit de puissance necessaire. Valider les droits d’acces spe- 
ciaux aux applications, aux donnees et systemes ; 

5. pour la production industrielle : determiner les reparations a effectuer et les 
eventuels equipements supplementaires a acquerir ; 

6. envisager la meilleure fagon de recuperer rapidement des moyens de 
secours : en effet, en situation de sinistre, le droit a l'erreur ou a l’accident 
est tres faible. Prevoir eventuellement des contrats de secours provisoires de 
courte duree ; 

7. prendre en compte les aspects financiers : apport des contrats d'assurance 
en valeur de remplacement, en pertes d'exploitation, etc. ; 

8. a partir de tous ces elements, elaborer un planning des travaux et actions a 
mener. 

Si ces activites se limitent bien evidemment d’abord a ce qui a ete sinistre, il est 
rare que tous les aspects soient a couvrir en meme temps. 

En general, il « suffit » de remettre en etat le site primaire et d'evacuer le site 
secondaire. Cependant, certaines entreprises en profitent pour repenser leur 
implantation en cherchant a diminuer les risques a l'avenir. L'entreprise doit 
aussi se preoccuper de la recuperation de sa capacite a resister et done de ses 
moyens de secours. 

Reorganisation d’un centre informatique apres un incendie 

La societe SL2 possede un centre informatique bien isole a la campagne. Sur ce site coha- 
bitent les ordinateurs centraux, des serveurs divers et une cinquantaine de personnes 
(ingenieurs systeme) travaillant dans des bureaux tres proches des machines, dans la 
zone a faux plancher pour certains. 

Un incendie se declare. II se propage rapidement et oblige a evacuer les lieux ; des cables 
sont endommages et certains serveurs touches. La remise en etat se revele assez difficile 
car il faut decabler puis recabler la salle. Apres enquete, il s'avere que I'origine du feu est 
un megot jete dans une poubelle... 

Le retour a la normale est accompagne alors d'une decision : le personnel travaillera 
desormais dans un autre batiment, situe au centre-ville. En effet, les techniques de pilo- 
tage a distance n'imposent plus de se trouver a proximite des machines ; les operateurs 
de salle sont ainsi reduits au minimum et les risques sur place diminues. 

Reparer et preparer 

Les actions planifiees et decidees en phase precedente sont executees. Cela 


concerne : 
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1 . la reparation des dommages dans les locaux et la preparation des salles et 
des bureaux en vue du reinvestissement des lieux ; 

2. la remise en etat des donnees et des dossiers sensibles ; 

3. le suivi de toute activite sous-traitee, tel que cela a ete decide ; 

4. la commande et l’acquisition des materiels et logiciels necessaries ; 

5. la reception, le controle, l'installation et le demarrage de tout ce qui est 
livre ; 

6. le reapprovisionnement en consommables divers (papiers, cartouches, sup- 
ports, etc.) ; 

7. les cablages en salles et dans les repartiteurs, avec mise & jour des schemas ; 

8. la mise a jour generale de toutes les configurations et des bases de donnees 
de configuration ; 

9. le parametrage et l'administration des droits d'acces, avec mise a jour ; 

10. la remise a niveau des diverses protections de securite qui ont pu etre modi- 
fiees durant la phase de fonctionnement en mode de secours. 

Reussir la transition 

Afin de ne pas trop perturber l’activite ayant desormais repris son cours, le 
retour sur des sites et des materiels stables et definitifs s'effectuera de prefe- 
rence lorsque les employes sont absents - souvent, le week-end. Concernant 
l’informatique, les conditions de transition sont contraintes encore davantage, 
l'objectif etant de ne pas interrompre les processus critiques. 

Souvent, face a cette operation delicate, les entreprises trouvent judicieux de 
suivre, en particulier pour tout ce qui concerne l’informatique, une procedure de 
gestion des changements de type IT1L. 

Plusieurs cas de figure se presentent, eventuellement combines : les systemes 
qui operaient sur le site de secours sont demenages sur le site principal et/ou le 
site principal est dote de nouveaux materiels vers lesquels il faut basculer. 

La transition pourra done etre realisee via les activites suivantes : 

1 . planifier la transition, en prevoyant eventuellement un retour arriere en cas 
de difficulte ; 

2. preparer a la fois le site cedant et le site recevant ; 

3. installer, s'il y a lieu, les systemes nouveaux sur le site principal et les 
initialiser ; 

4. figer les donnees a un point de sauvegarde propre, realiser les copies de sau- 
vegarde et arreter les systemes qui vont demenager du site de secours ; 

5. demenager les systemes anciens sur le site principal s’il y a lieu, puis trans- 
ferer les sauvegardes ; 

6. installer les systemes sur le site principal, les initialiser, puis mettre le reseau 
en fonctionnement ; 
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7. restaurer les sous-systemes et les donnees sur les systemes cibles ; 

8. verifier le bon fonctionnement des applications avec des representants des 
utilisateurs ou des responsables applicatifs ; 

9. attribuer les identifiants et les mots de passe correctement ; 

10. retablir les connexions telephoniques ; 

1 1 . completer les dossiers critiques en vue de les finaliser, puis les entreposer & 
l'endroit prevu ; 

12. reprendre les operations courantes ; 

13. redemarrer les diverses protections anti-sinistres (sauvegardes, copies 
miroirs locales et distantes, etc.) ; 

14. debarrasser le site de secours et le rendre a sa mission originale, en suivant 
les indications contractuelles ou les procedures ; 

15. detruire eventuellement les informations confidentielles et retablir la confi- 
dentialite a son niveau nominal exige en fonctionnement normal. 

A la fin de cette etape, l’entreprise se retrouve dans une situation semblable ou 
equivalente a celle qu'elle connaissait avant le sinistre. Cela ne signifie pas 
qu'elle utilise les memes moyens a l'identique, mais qu’elle emploie des 
moyens adaptes a sa nouvelle situation et qu’elle dispose a nouveau de moyens 
de secours operationnels. 

Etape 7 - Bilan d'apres sinistre 

Cette etape finale ne doit pas etre negligee, car elle est riche d'enseignements 
concernant le plan qui vient d'etre execute face a un sinistre. 11 s’agit la d'un test 
grandeur nature. 

Normalement, comme cela a ete preconise tout au long des etapes precedentes, 
les anomalies constatees ont ete notees par les membres des groupes d’inter- 
vention et les divers responsables. Si ce n'est pas le cas, il faut demander alors 
un bilan ecrit aux differents chefs de groupes. 

Les anomalies reportees sont couramment classees en trois niveaux de gravite. 

• Les anomalies bloquantes : elles ont empeche que le plan soit execute 
comme prevu, sans possibility de contournement. C'est le cas, par exemple, 
lorsqu'un site de secours prevu n'existe plus car le contrat de secours a dtd 
resilie, ou encore lorsque ce site a change de destination suite a une fusion, 
sans que le plan de continuity ait 6td mis k jour. 

• Les anomalies genantes : elles ont empeche l'execution du plan conforme- 
ment & ce qui etait prevu, mais il a ete possible de trouver une solution de 
contournement. Cela se produit souvent lorsque les documents comportent 
des inexactitudes : les serveurs prevus ne sont pas exactement ceux qu’il fau- 
drait, ou les quantites de postes de travail de secours, par exemple, ne repon- 
dent pas au besoin. 
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• Les anomalies simples : elles ont provoque des pertes de temps ou des 
efforts supplementaires. C'est 1'histoire classique des cles absentes du 
tableau qu’il faut aller chercher chez le collaborates. 

Ces anomalies resultent souvent de defauts ou de laxisme dans l'actualisation 
des bases de donnees de configuration ou dans le respect des consignes. 

En outre, il arrive aussi que des suggestions remontent pour ameliorer le plan 
de continuite. Tous ces points d'amelioration peuvent faire l'objet de nouvelles 
actions a planifier et a realiser, avec chiffrage du cout. L’effort a fournir devra 
alors venir des operationnels eux-memes plutot que des personnes en charge de 
la continuite. 

Les actions de sensibilisation et de formation du personnel a l'interet de la con- 
tinuity d'activite peuvent permettre d'eviter bon nombre de ces difficultes. 


Comment aPPecter les taches ? 


La description d'activites qui precede, repartie selon un planning en sept eta- 
pes, permet a l'entreprise de selectionner les actions qu'elle doit entreprendre, 
avec un deroulement adapte a son contexte. Il se pose alors le probleme de 
l’affectation de ces activites - eventuellement subdivisees en taches - a des 
employes en charge de leur execution. 

Cette affectation doit se faire en respectant les responsabilites des differents 
groupes definis dans le chapitre 4. 

Specificite du PCA 

Dans une approche de planification de projet classique, une tache est confide a 
une personne donnee, assortie d'une charge et d'une duree. Dans certains cas, 
la tache peut etre accomplie deux fois plus vite si deux personnes y travaillent 
en parallele. Dans d'autres cas, la duree est incompressible. Ce sont la des con- 
siderations habituelles en gestion de projet. 

Dans le cas particulier de la continuite d'activite, la situation est plus problema- 
tique, car : 

• on decouvre l'ampleur du travail a effectuer au fur et a mesure qu’on 
l'effectue ; 

• les personnes disponibles ne sont pas - elles non plus - connues a l’avance, 
ce qui rend illusoires les affectations precises planifiees. 

La duree de l'activite apparait done comme la seule variable d'ajustement. Or 
c'est justement la que reside la difficulty, car cette duree est contrainte par les 
MTD (durees maximales d’indisponibilite admissibles). Tous les parametres 
devront done etre ajustes en fonction des delais de MTD. Cela signifie que les 
equipes seront a geometric variable aussi bien dans leurs effectifs que dans les 
competences representees. 
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Tableau 5-1 :Approche de projet classique, peu adaptee au PCA 


Etape 

Activite 

Tache 

Personne 

Charge 

Duree 

PCA N° 1 

1.1.5 collecterdes 
infos sur le site 

b) verifier 
I'accessibilite 

Chef du 
centre 

informatique 

2 heures/ 
homme 

2 heures 

PCA N° 5 

5.2.5 installer les 
serveurs 

c) installer les 
10 serveurs \Jrin/ 
Oracle 

2 ingenieurs 
systeme Unix 

5 heures/ 
homme 

2,5 heures 

d) installer les 
24 serveurs WinTel 

4 ingenieurs 

systeme 

Windows 

8 heures/ 
homme 

2 heures 


Le tableau precedent decrit un ideal qui ne se presente pas forcement dans la 
realite de 1'apres sinistre. Si au lieu des six ingenieurs prevus, il n'y en a que qua- 
tre et qu'ils ne sont pas specialistes des technologies adequates, les delais vont 
s'allonger. Il faudra done choisir entre les serveurs a installer en premier ou bien 
trouver des ingenieurs supplementaires. La seule indication interessante et 
exploitable est ici la charge previsionnelle. Elle permet au responsable de 
dimensionner ses equipes et les travaux en fonction du delai & tenir. 

Charges et delais cibles 

L'exemple qui precede explique pourquoi l'approche generalement retenue con- 
siste a raisonner en charge previsionnelle par unite de travail (par serveur, par 
exemple). 

Dans tous les groupes, le responsable a done deux parametres en tete : 

• la charge totale estimee pour le travail k faire ; 

• le temps ecoule depuis l'interruption des activites. 

Il en deduit done les effectifs dont il a besoin en theorie pour realiser, dans le 
delai maximal admissible d'interruption (MTD), les taches necessaires. Dans la 
realite, les specialistes savent a peu pres en combien de temps telle ou telle 
action doit etre accomplie et combien de personnes sont necessaires ideale- 
ment pour la mener a bien dans les delais impartis. C’est le role du chef de 
groupe de trouver les profils les plus competents parmi le personnel disponible, 
soit a 1'exterieur du site, soit dans l’entreprise. 

Du realisme avant tout 

Un planning previsionnel precis et fige est irrealiste en situation de reprise apres 
sinistre. L’ affectation des personnes aux tSches par le chef de groupe se fait done 
au coup par coup selon la realite du sinistre. Ce qui importe ici, e'est d’affecter 
un ensemble d'activites a un groupe et k son responsable. Le plan doit done 
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indiquer ces affectations et le responsable de groupe connaitre ses missions 
(voir le chapitre 4). 

Le plan peut, en plus, donner des indications de charge par type de travaux, ce 
qui permet d'evaluer la quantite totale de travail a produire. Souvent, les specia- 
listes (s'ils sont la ... ) sont capables d'effectuer des evaluations realistes. 

En fonction du chronometre, qui court depuis l’arret des activites critiques de 
l'entreprise, le chef de groupe cherche a composer ses equipes avec des person- 
nes efficaces et aptes a atteindre l'objectif du groupe. 11 demande de l’aide au 
chef de groupe de gestion de crise, en cas de besoin et lui fait un rapport d'avan- 
cement regulier. Ce responsable central a done un role d'arbitrage entre les 
diverses demandes qu’il regoit des differents groupes. 

Ces arbitrages sont multiples et complexes. On peut preferer privilegier les acti- 
vites prioritaires afin d'en remettre quelques-unes en route. A charge egale et 
personnel identique, on aura souvent soit toutes les taches avancees a 50 %, 
soit la moitie des taches terminees. Mieux vaut alors choisir la deuxieme situa- 
tion, meme si elle est plutot complexe d realiser : autant avoir quelques activites 
qui fonctionnent que rien du tout. 
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Tester le plan 
de continuity 


A ce stade de son elaboration, le plan de continuite ne correspond qu’a une 
suite de travaux, de reflexions et de decisions synthetises dans plusieurs docu- 
ments. Apres cette organisation theorique, il est maintenant indispensable de 
tester le plan de continuite afin de s'assurer de ses applications concretes. 

Cela permet de valider la strategie, les hypotheses, l’attribution des missions, 
les plannings et les recommandations qui ont ete mis au point lors des etapes 
precedentes. Il vaut mieux, en effet, que les difficultes potentielles soient ren- 
contrees durant un exercice de test plutot qu'au moment de l'execution du plan, 
en situation reelle de sinistre. 


Cadraqe des tests 


Il est indispensable de definir une politique de tests pluriannuelle. L’objectif 
general est divise en objectifs tactiques respectant un calendrier precis et valide 
par les differentes parties prenantes. Ces aspects de gouvernance sont abordes 
dans le chapitre 1 1 . 

On devra egalement determiner la methode a suivre pour appliquer les diffe- 
rents types de tests afin d’atteindre les objectifs fixes. L’entreprise doit en effet 
mettre en oeuvre une demarche qui lui permette de verifier, d'assimiler et de se 
familiariser avec son plan de continuite, ayant recours aux tests pour l'ameliorer. 

Objectifs 

Un exercice test peut avoir un ou plusieurs objectifs. Il est important de definir a 
1’avance cet objectif, car le deroulement et le suivi des tests en dependent gran- 
dement. 
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Valider I'efficacite du plan 

Les exercices de test du plan de continuite permettent de verifier son bon fonc- 

tionnement. Les points suivants doivent etre valides ou, le cas echeant, faire 

l'objet d’un plan d’action qui les rendra plus adaptes ou efficaces : 

• les responsabilitds definies dans le plan sont prises en charge par les bonnes 
personnes ; 

• les activites sont convenablement definies et produisent les resultats 
attendus ; 

• la synchronisation, les durees et les charges p revues dans le planning sont 
bonnes ; 

• les etapes definies dans le planning se deroulent comme prevu ; 

• les processus critiques sont redemarres en temps voulu. 

Identifier les points faibles 

Aucun plan n'etant parfait, 1’exercice de test est l’occasion de detecter certains 

points faibles, parmi lesquels on distingue : 

• les difficultes d’acces a la documentation, aux listes de references, de noms, 
de configurations ; 

• les delais pour constituer les groupes, en raison de l’indisponibilite imme- 
diate des responsables ; 

• le caractere irrealiste ou incomplet de la strategie de continuite se revelant 
dans son application ; 

• les erreurs dans les documents ou listes de contacts, de ressources, etc. ; 

• les omissions de personnes ou de taches necessaires ; 

• la difference entre la realite et ce qui est prevu dans le plan : conditions du 
materiel informatique (tel serveur cense etre sauvegarde regulierement mais 
qui ne Test pas, par exemple), ressources presentes sur le site de secours, 
etc. ; 

• les soucis imprevus de derniere minute (tel logiciel ne peut etre utilise car la 
cle logique n'est pas attribute, telle porte est fermee a cle et celle-ci est 
introuvable...). 

II n'y a pas de cle, helas ! 

La societe BCD doit interrompre son alimentation electrique sur toute sa salle informati- 
que pour cause de travaux. Elle decide a cette occasion de simuler une panne de courant, 
tout en prevenant le personnel, afin d'observer comment se passe I'arret des serveurs en 
salle. 

Le jour y arrive : le courant est coupe, et on passe alors sur les onduleurs, qui assurent, pre- 
voit-on, environ 50 minutes d’autonomie. Les operateurs lancent les procedures d’arret 
des machines correctement. Pour certaines d’entre elles, il faut se rendre dans la salle 
informatique : tout se passe bien, les operateurs prevus ont effectivement les droits. 
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La plupart des machines en salle sont accessibles sans difficult et peuvent done etre 
arretees. Mais certaines d'entre elles se trouvent dans une armoire fermee a cles, sans 
que cela ait ete prevu. Cherchant alors les des, on finit par les trouver mais elles ne sont 
pas clairement identifiees, ce qui fait perdre du temps pour les essayer une a une. Or, le 
chronometre tourne I 

En fin de compte, il reste deux machines dont I'acces est impossible : la de d'armoire est 
trouvee mais pas la deuxieme necessaire pour activer le clavier ! Ces deux machines finis- 
sent par s'arreter, faute de courant, ce qui n'etait pas prevu. Or il se trouve que ces machi- 
nes sont justement jugees critiques. 

Moralite : un petit oubli a failli tout faire echouer I Concernant les machines critiques, il 
vaut mieux analyser a I'avance et dans le detail les problemes potentiels. 

Verifier la validite du plan 

Le plan de continuite part d’une photographie de l'entreprise et de ses partenai- 
res a un moment donne. En raison des evolutions qui ne manqueront pas de se 
produire, le plan ne sera done pas toujours d'actualitd et il faudra regulierement 
proceder a une mise a jour. La liste des elements a remettre a jour est longue. 
Une procedure particuliere est normalement prevue pour cela (voir le chapi- 
tre 12), mais elle n'est pas toujours appliquee correctement. Parmi ces ele- 
ments, on peut citer : 

• les organigrammes et les listes de contacts ; 

• les informations concernant les partenaires (fournisseurs de sites de secours, 
depanneurs, etc.) ; 

• les caracteristiques des systemes techniques de toute sorte, connaissant des 
modifications regulieres qui doivent etre suivies afin que leur secours soit de 
meme niveau. 

Aucun exercice de test ne se revele sans surprise sur ces aspects. L'exercice per- 
mettra non seulement la mise a jour des listes, mais surtout ['amelioration de la 
procedure de tenue a jour elle-meme, en detectant ses faiblesses. L'un des 
meilleurs resultats que Ton puisse obtenir est d'ailleurs la sensibilisation des 
responsables charges de cette mise a jour. 

Former les employes 

Cet objectif est tres souvent mis en avant par ceux qui pratiquent des tests regu- 
lars. Pour les employes comme pour les responsables, le premier test est le plus 
difficile car « on ne sait pas ce que Ton a a faire ». Les tests suivants ressemblent 
davantage a des repetitions et des exercices de rodage. 

Dans l'ideal, les employes devraient parvenir a : 

• respecter les affectations aux groupes et attributions d'activites prevues par 
le plan ; 

• reagir efficacement face a toute sorte d'imprevu (absence de personnel, allon- 
gement des delais, situations non conformes au plan, etc.) ; 
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• se familiariser avec les locaux de secours, le centre de gestion de crise, les tra- 
jets a effectuer, les lieux a visiter (pour recuperer des bandes, par exemple) de 
maniere a parer a toute eventualite ; 

• utiliser aisement les moyens de communication et avoir le reflexe de rendre 
des comptes (reporting). 

L'exercice de test se revele ainsi etre un bon moyen de former les employes, qui 
peuvent eux-aussi proposer des ameliorations du plan. 

Pour les employes non directement impliques dans les tests, la sensibilisation 
aux problemes de continuite est un resultat interessant de la campagne de tests. 

Methodes de test 

II existe plusieurs methodes pour tester un plan, que celui-ci concerne la conti- 
nuite ou pas d’ailleurs. Les principales methodes en usage sont decrites ci- 
apres. Le cout et le risque associes au test sont variables en fonction de la 
methode choisie. 

Test de verification (check-list) 

Ce type de test est peu onereux et permet de preparer des tests plus approfon- 
dis. Il consiste a passer en revue le plan de continuite et les documents associes 
pour en verifier l'exactitude et l'applicabilite, tout en inspectant la disponibilite 
des ressources prevues. En particulier, cela revient a verifier : 

• l'exactitude des listes de contacts et des numeros de telephone ; 

• la bonne documentation des applications critiques et des systemes informa- 
tiques associes ; 

• la bonne description des dossiers vitaux (existence, lieu de conservation, etc.) ; 

• la presence effective des sauvegardes dans les lieux prevus, sous la forme 
attendue, aux dates voulues ; 

• l'existence des formulaires necessaries aux procedures degradees, avec la 
bonne description desdites procedures ; 

• la bonne tenue des manuels d'installation ou d'intervention prevues sur le 
site de secours ; 

• la presence sur le site de secours du materiel et des documents qui sont cen- 
ses s’y trouver ; 

• la presence au centre de gestion de crise des materiels et equipements pre- 
vus, en bon etat de fonctionnement. 

Ces verifications peuvent se faire regulierement. L'implication des groupes 
d'intervention, meme si elle est interessante, n’est pas necessaire. 

Inspection de documents (walk-through) 

Appele parfois « test en chambre », l’inspection de documents consiste a lire les 
documents constituant le plan de continuite pour en derouler, virtuellement ou 
a blanc, le scenario d’execution. 
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Avant de realiser ce type de test, il faut determiner un scenario precis de sinistre. 
Par ailleurs, on doit avoir remis aux membres de l'equipe de test une description 
de leurs responsabilites, des activites a effectuer et des procedures a suivre. Le 
test consiste ensuite, pour les personnes impliquees, a jouer le role de leur res- 
ponsabilite, en « deroulant » les activites a effectuer, tout en suivant les proce- 
dures avec leur equipe. Le but est de verifier que l'ensemble est correctement 
congu et operationnel. 

Le fait de rassembler des groupes avec des responsabilites diverses dans le 
meme exercice se revele tres interessant, car cela permet eventuellement de : 

• detecter des recouvrements de missions (deux groupes voulant faire la meme 
chose) ; 

• decouvrir des lacunes (personne pour certaines activites) ; 

• constater des trous dans les procedures, ou encore des points inapplicables 
ou inutiles ; 

• observer eventuellement des difficultes dans les activites ou reajuster le plan- 
ning. 

Ce genre de test a l'avantage de familiariser les equipes avec leurs collegues, les 
roles de chacun, les sites de secours et leurs ressources, les circuits de decision 
et de reporting. Les personnes impliquees apprennent ainsi a vivre le plan de 
continuity. Afin de rendre les tests plus realistes, les equipes peuvent d’ailleurs 
etre depechees sur les lieux reels d'intervention. 

Simulation 

Ce test est plus elabore et plus coflteux que les precedents. Il s’agit en effet de 
simuler une interruption d'activite due a un sinistre et d'executer la portion du 
plan de continuite correspondante. 

La mise en oeuvre de ces tests peut comporter plusieurs variantes, dont vont 
dependre le degre de perturbation des activites de l’entreprise et le cotit du test : 

• simuler des activites (l’arret d'un serveur, par exemple) ou les effectuer reelle- 
ment (arreter effectivement le serveur) ; 

• faire la simulation sur un site de production reel ou sur un site de secours ; 

• demander aux employes concernes par les activites touchees d’arreter effecti- 
vement de travailler ou les laisser continuer ; 

• faire travailler une partie du personnel sur le site de secours ou employer les 
moyens de secours avec des procedures degradees ; 

• se limiter a certaines portions du plan, concernant une activite de I'entreprise 
en particulier ou une partie d'un site ; 

• se concentrer uniquement sur certaines etapes du plan, comme les trois pre- 
mieres, qui peuvent necessiter un rodage particulier. 

En outre, ces tests de simulation peuvent etre particulierement interessant pour 
verifier certains points particuliers tels que : 


<n> 


Management de la continuite d’activite 


• le degre de reactivite des prestataires impliques ; 

• l'efficacite de la sortie des sauvegardes de leur lieu de conservation ; 

• la faisabilite de l'utilisation de tel ou tel site en secours pour les bureaux ; 

• le temps a prevoir pour certains deplacements ; 

• la duree necessaire a la reconstitution des donnees sur le site de secours ; 

• la viabilite des procedures manuelles ; 

• l'efficacite du plan en cas d’absence de telephonie ou de messagerie ; 

• l'efficacite des circuits de decision en cas d'absence de certains responsables. 
La simulation peut d'ailleurs etre centree sur des points particuliers pour les- 
quels des doutes subsistent. Dans ce cas, les resultats permettent d'apporter de 
reelles ameliorations au plan. 

Test parallele 

En informatique, le test parallele s'emploie pour remplacer un systeme par un 
autre et ainsi verifier qu'ils donnent le meme resultat. Ce genre de test permet 
d’asseoir la confiance dans un systeme de secours et dans les procedures de res- 
tauration des donnees. Dans le cadre de la continuite d'activite, il s'agit de faire 
fonctionner le systeme de secours en parallele du systeme principal, afin qu’il 
soit le plus ressemblant possible. Pour atteindre cet objectif, on procede comme 
suit : 

1 . le systeme principal fonctionne normalement sur son site ; 

2. a un moment donne, on fait comme si un sinistre s’etait produit : on com- 
mence a garder une trace manuelle des transactions saisies sur le systeme 
principal (en faisant comme s'il n'existait plus) ; 

3. le systeme de secours prevu est mis en route sur le site de secours ; 

4. les diverses sauvegardes disponibles sont recuperees et restaurees sur le 
systeme de secours, en appliquant au besoin les journaux ; 

5. les transactions manuelles (du point 2) sont saisies sur le systeme de 
secours ; 

6. on compare alors les deux systemes, en notant tout ecart concernant les 
donnees. 

Les ecarts de donnees sont dus aux periodes durant lesquelles l'enregistrement 
des transactions n'a pas ete fait ou communique - par exemple, le laps de temps 
entre la derniere sauvegarde et le sinistre simule. Les raisons peuvent etre diver- 
ses et les solutions techniques proposees egalement. Dans tous les cas, cela 
doit donner lieu a un plan d'action. 

Ce type de test est delicat et parfois coflteux ; on l'effectue en general quand les 
autres tests ont ete menes avec succes. Le test parallele peut etre realise assez 
facilement sur certaines solutions techniques (telles que le SGBD, voir le chapi- 
tre 8). 
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Grace a ce test, il est egalement possible de verifier si les employes ont bien 
acces au systeme de secours. Enfin, il peut se reveler utile pour mesurer le 
temps necessaire a chaque recuperation. On pourra ainsi analyser la maniere de 
reduire ces delais s'ils s'averent trop longs. 

Test interruptif total 

C'est le test complet. Tout se passe comme si un sinistre avait reellement eu 
lieu. Le plan est active en grandeur nature et les activites qu'il prevoit sont reel- 
lement executees. 

Si le test le permet, l'activite « normale » peut continuer. Il faut bien evidem- 
ment avertir les clients, fournisseurs et partenaires de cette interruption pro- 
grammee. On cherchera pour cela a eviter les periodes de grande activite ou les 
pointes de transactions. 

Comme il s'agit du test le plus onereux, il ne sera realise que lorsque les autres 
tests auront ete effectues et que les ameliorations a apporter decouvertes au 
cours de ceux-ci auront ete integrees. Ce genre de test est tres rarement prati- 
que. 

Faut-il annoncer le test ? 

Faut-il prevenir les employes et les partenaires de l'entreprise que le plan de 
continuity sera teste (en leur indiquant le site, le jour et 1'heure precis) ? Ou 
vaut-il mieux, au contraire, garder le secret et le declencher a 1'improviste ? Les 
avis divergent, mais la fagon de proceder dependra aussi de chaque situation. 
En effet, plusieurs elements doivent etre pris en consideration pour determiner 
la methode a adopter, dont certaines prechent en faveur d'une annonce : 

• si le plan de continuite n'est pas encore tout k fait maTtrise, rien ne sert de 
compliquer les choses en realisant des tests a 1'improviste ; 

• si le plan comporte des defauts, que le test soit annonce ou non, ils seront 
tout de meme constates ; 

• si le test est annonce, l'entreprise peut en reduire l’impact et done le coflt. 
D’autres incitent plutot a privilegier la surprise : 

• seul le test non annonce permet de verifier la bonne reactivite des employes ; 

• le sinistre reel ne prevenant pas, le test sera lui aussi realise a 1’improviste, 
par souci de realisme ; 

• la surprise empechera que certaines personnes soient tentees de rectifier a 
l’avance des situations dommageables a la continuite, que Ton ne decouvrira 
done pas. 

En conclusion, les tests realises & 1’improviste ne sont recommandes que si 
l’entreprise possede une bonne maTtrise de son plan de continuite, acquise a la 
suite de tests annonces. Toujours dans une demarche de progression, les pre- 
miers tests non annonces se feront sur un perimetre limite et viseront essentiel- 
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lement a evaluer la reactivite des personnes sur les premieres etapes du 
planning. 

Document de preparation 

Pour reussir l'exercice du test, il est important de bien le preparer. Le manque de 
preparation peut generer des doutes quant au serieux du plan et decredibiliser 
toute action ulterieure. En effet, la direction generate accorde a ces tests un 
temps et une attention qui n'est consequente que si les resultats sont a la hau- 
teur des attentes. Enfin, pour etre credible, il est necessaire d'etre realiste et 
pragmatique. 

On devra done decrire ce que l’on attend concretement du test dans un docu- 
ment qui couvre les points suivants : 

• le dispositif humain et technique pour mener le test ; 

• les points du plan de continuite & tester ; 

• la date, le lieu et la duree du test ; 

• les ressources necessaires ; 

• les actions & mener avant, pendant et apres ; 

• la methode devaluation des points qui ressortiront a travers ce test ; 

• le dispositif de surveillance et de compte rendu des evenements et constata- 
tions. 

Avant de developper le plan de test proprement dit, les points de ce document 
devront etre approuves prealablement par la direction des services concernes. 

Contraintes des tests 

Un test peut perturber le deroulement habituel des activites des employes. 
Avant de le mettre en application, il est done judicieux d’en definir les limites de 
concert avec les operationnels concernes. En effet, pour obtenir leur accord sur 
un calendrier annuel et les perturbations acceptables, il faudra les convaincre de 
l'utilite des tests en leur montrant qu'ils ont tout a y gagner. Concretement, on 
validera avec eux un certain nombre de points : 

• les repercussions acceptables sur le service ; 

• les contraintes financieres, le budget alloue et surtout ce que le test coutera a 
ceux qui en seront les « victimes » ; 

• les niveaux de securite a respecter : certaines derogations sont-elles 
possibles ? dans quelles conditions ? 

• les limites de temps et de cofits pour la mise a disposition de moyens de 
secours, de sites et d' employes ; 

• la disponibilite du support technique fourni par les operationnels en phase 
de preparation et d'execution du test, puis lors de la remise en etat normal ; 

• la determination de toute autre contrainte ou limite aux actions de test (par 
exemple : execution uniquement le week-end ou la nuit, etc.). 
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Elaborer un plan de test 


Pour chaque test programme, un plan est etabli afin d'en preciser formellement 
le cadrage et de prevoir le planning de son deroulement. Ce plan se deroule 
selon sept phases, devant chacune produire des resultats tangibles (livrables) : 

1 . revue des tests anterieurs ; 

2. description des objectifs, perimetre et contraintes ; 

3. definition de la tactique du test ; 

4. mise en place de la logistique du test ; 

5. planning et calendrier du test ; 

6. revue des risques eventuels avant execution ; 

7. documentation du test. 

Phase 1 - Revue des tests anterieurs 

Lors de cette premiere phase, les rapports de tests deja effectues sont passes en 
revue pour etablir un bilan et capitaliser sur leurs resultats. Ceux-ci contiennent 
en effet des renseignements utiles, aussi bien au sujet des points du PCA qui 
posent probleme que de ceux qui ont ete testds avec succes. 

Cela permet egalement de dresser la liste des points qui n'ont pas encore 6t6 
testes, le but etant d'ameliorer les points defaillants et d'evaluer ceux qui n'ont 
pas encore ete testes. 

Quand tout va bien, il faut le dire ! 

La societe Dugroup a rachete la societe DBC et fusionne leurs moyens informatiques. 
Avant la fusion, DBC testait son plan de reprise (PRA) sur un site eloigne. 

Apres restructuration technique, Dugroup souhaite organiser une campagne de tests et 
analyse dans ce but les rapports des tests anterieurs menes par DBC. Ces derniers sont 
tres succincts et ne decrivent pas avec suffisamment de precision I'existant technique. 
Difficile done de determiner les elements qui restent valables dans la nouvelle configura- 
tion. Par ailleurs, les rapports font surtout etat de problemes de telecommunications qui 
ne sont plus pertinents dans la nouvelle structure. 

Dugroup ne peut quasiment rien deduire des rapports de tests de DBC et realise de nou- 
veaux tests, qui recouvrent fort probablement des actions deja accomplies par DBC et 
que Ton aurait pu eviter si leurs resultats avaient ete rapportes plus precisement. 
Moralite : il est frequent de trouver dans les rapports de tests uniquement la liste de ce 
qui ne va pas... les points positifs etant eludes. Sachez que, afin d'optimiser les tests sui- 
vants, il est egalement important de les indiquer I 

Bien entendu, il faut egalement integrer dans la revue les eventuelles modifica- 
tions subies par l'entreprise qui rendent caducs certains tests realises anterieu- 
rement ou certaines actions correctives. 

Par ailleurs, les documents des tests anterieurs peuvent etre reutilises comme 
modele pour les nouveaux tests. 
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A Tissue de cette phase, un document de revue des tests anterieurs doit etre 
produit. 

Phase 2 - Description des objectifs, perimetre et contraintes 

Les objectifs, le perimetre et les contraintes du test sont definis lors de discus- 
sions en interne et doivent etre rediges de fagon minutieuse. Ces elements sont 
d'une importance capitale pour la reussite des phases qui suivent, et ne doivent 
jamais etre perdus de vue tout au long de leur deroulement. 

Objectifs 

II s’agit de decrire les objectifs que Ton souhaite atteindre en realisant le test. 

Il est preferable de classer ces objectifs par niveaux de priorite, en distinguant 
bien ce qui est urgent et indispensable (objectifs prioritaires) de ce qui serait 
simplement interessant, et pouvant par consequent etre teste plus tard (objec- 
tifs secondaires). Un classement en deux ou trois niveaux suffit. En voici quel- 
ques exemples : 

Objectifs prioritaires : 

• determiner si le PCA est a jour ; 

• verifier que les ressources prevues en secours sont convenables ; 

• s’assurer que les procedures de restauration de donnees informatiques fonc- 
tionnent correctement ; 

• recreer Tenvironnement informatique de secours sur le site distant et verifier 
le temps necessaire ; 

• relocaliser un service sur un site de secours ; 

• s’assurer que les premieres etapes du PCA, en debut de crise, se deroulent 
comme prevu ; 

• verifier la reactivite des prestataires impliques dans le plan. 

Objectifs secondaires : 

• tester l'acces des utilisateurs sur un systeme de secours, une fois celui-ci mis 
en route ; 

• verifier i’ouverture du centre de gestion de crise (a la suite des premieres eta- 
pes du plan) ; 

• tester une application donnee sur un systeme de secours ; 

• tester le retour a la normale. 

Les objectifs dits secondaires seront testes si la charge de travail et le contexte 
le permettent. 

I Ne pas devier de Tobjectif ! 

La societe Bontemps teste la capacite a relancer ses serveurs sur un site de secours. Elle 
possede des serveurs Unix, Windows et un mainframe IBM. 
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Tout se passe bien pour le mainframe et les serveurs Windows. Pour les serveurs Unix, en 
revanche, elle constate qu'il manque certains droits de licence ou, plus exactement, qu'il 
faut demander une montee de niveau et des correctifs aupres d'un fournisseur. 

L'equipe en charge du test contacte alors directement ledit fournisseur. Celui-ci entre a 
son tour en relation avec le responsable des achats de Bontemps, qui lui n'est pas au cou- 
rant de la situation. On en reste la, malgre la pression de l’equipe de test. 

Moralite : II ne faut pas perdre de vue I'objectif du test I lei, il s'agissait de « verifier » que 
Ton pouvait demarrer les serveurs et non pas de « demarrer les serveurs ». Le test aurait 
done du simplement produire le constat qu'il y avait un probleme a resoudre pour les ser- 
veurs Unix et non entraTner sa resolution en catastrophe ! 

Cela ne signifie pas pour autant qu'il faille automatiquementtout arreter sur un constat 
d'impossibilite. Lorsqu'un document est absent, par exemple, on le note, mais si on sait 
ou le trouver, on le cherche ! C'est une affaire de « bon dosage » a trouver. 

N. B. : Au passage, cet exemple montre que le responsable des achats peut lui aussi etre 
implique dans les tests. 

Perimetre 

Definir le perimetre du plan de test consiste a delimiter le champ d’action du 
test. Celui-ci peut inclure : 

• les portions du PCA que Ton souhaite verifier(telles que les trois premieres 
etapes du planning ou la formation des groupes, par exemple) ; 

• les activites prevues par le planning sur un site donne ; 

• tout ce qui doit se passer sur un ou plusieurs sites de l'entreprise ; 

• certains partenaires externes et contrats de secours ; 

• une technologie donnee (en particulier, si celle-ci coute cher pour un niveau 
de secours qui reste a prouver) ; 

• une action particuliere du plan (par exemple : mettre en route le centre de 
gestion de crise). 

Tout ce qui se trouve en dehors du champ d'action peut egalement etre liste, 
afin que le personnel effectuant les tests connaisse exactement les limites de 
ses actions. 

Pour une serie de tests ayant le meme objectif, le perimetre, lui, peut changer 
d’un test a Tautre. Par exemple, il peut etre interessant de tester les memes 
objectifs sur les differents sites de l’entreprise (y compris ceux a l’etranger) . 

Contraintes 

Cet aspect est tres important pour la suite. Si les contraintes sont trop fortes, le 
test risque d'etre difficile a mener. A l'inverse, une absence de contrainte peut 
etre prejudiciable a l’entreprise. Voici les differents elements a determiner pour 
le test en prevision : 

• l'enveloppe budgetaire affectee aux coflts des machines de secours, de depla- 
cement, de locations diverses, de licence, etc. ; 
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• le niveau de perturbation entraTne sur 1'entreprise : peut-on reellement arre- 
ter telle machine ? combien de temps ? quand ? 

• la securite : peut-on obtenir des derogations ? faut-il prevoir des mesures 
supplementaires ? 

• les limites de charge prevues pour les specialistes mis a disposition pour le 
test ; 

• pour les locaux prevus en secours, d'eventuelles contraintes d’espace, de 
limites electriques, de charge de machine a ne pas depasser ; 

• les approximations necessaries (utilisation d’un site en secours a la place du 
site principal, par exemple). 

Ces contraintes determinent souvent les points sur lesquels le test pourra etre 
effectue en situation reelle ou si on devra se contenter de faire une simulation. 
C’est en effet le test qui doit etre adapte aux contraintes posees et non l'inverse. 

Phase 3 - Definition de la tactique de test 

Maintenant que 1'on sait precisement ce que Ton veut verifier et dans quel cadre, 
il faut definir la tactique a observer pour parvenir au resultat attendu tout en res- 
tart dans les limites definies. 

Scenario 

La situation que Ton veut tester est decrite par ecrit dans un document qui sera 
remis a l'equipe de test au debut de 1’exercice. La description doit etre realiste et 
credible, elle ne doit pas reveler par avance ce que les testeurs sont supposes 
decouvrir par eux-memes ou evaluer. Elle doit en revanche permettre de limiter 
la reaction au perimetre recherche. 

Il peut etre interessant de prendre pour scenario certaines des catastrophes etu- 
diees dans l’analyse de risque (voir le chapitre 1). Cela permet de se rapprocher 
au plus pres d'une catastrophe reellement probable. 

La narration doit presenter des faits, des dates et heures precises et des cons- 
tats deja realises. Voici quelques exemples : 

Scenario n° 1 : Inondation du site CTI01 
Objectif : valider les etapes 1, 2 et 3 du PCA. 

Perimetre : le site CTI01 et son site de secours. 

Contrainte : pas d'interruption d’activite. 

Document remis au chef de gestion de crise. 

« A cause de la crue du Loir, I'environnement du site CTI01 est inonde. A 1 h du matin, le 
23 mars, le niveau d'eau atteint 30 cm, mesures a I'entree servant de reference. La sur- 
veillance de nuit du centre appliquant la procedure appelle le responsable de site qui 
vient de vous reveiller. » 

Pour toute question : contacter M. Test (numero de telephone). 
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Scenario n° 2 : Reprise de I'application SAT02 sur le site d'Angers 
Objectif : valider la viabilite du contrat avec la societe CPPB. 

Perimetre : I'application SAT02, le site de Vanves et son site de secours. 

Contrainte : pas d'interruption d’activite. 

Document remis au responsable de recuperation des moyens techniques. 

« A cause d'un probleme grave sur le site principal de Vanves, il a ete decide d'arreter cer- 
taines des applications en fonctionnement sur ce site. Le 15 mars a 9 h, il est decide 
d'activer la version de secours de I'application SAT02 sur le site d'Angers, comme prevu 
dans la convention de secours signee avec le CPPB. II n'est pas possible de se rendre sur 
le site de Vanves. Le chef de gestion de crise vous transmet ce message. » 

Pour toute question : contacter M. Test (numero de telephone). 

Exceptes les cas oh Ton veut simuler un tout debut de sinistre et evaluer la 
maniere dont les dommages sont decouverts, le scenario doit decrire les dom- 
mages subis par Tentreprise lors du sinistre. Tout doit etre presente de maniere 
a donner un niveau d'information correspondant a celui obtenu en situation 
reelle au moment que l’on veut tester. 

C'est a partir du probleme ainsi pose que le destinataire du message devra 
enclencher les mesures prevues dans le plan au sein du cadre indique. 

Choix de la methode 

Les differentes methodes de test pratiquees ont ete presentees dans la premiere 
section de ce chapitre. Au cours de l'elaboration de la tactique de test, on deter- 
mine a quelle methode on recourt en fonction du scenario prevu. 

Dans le cas du scenario n° 2 ci-dessus, le « test parallele » pourra se reveler per- 
tinent. Pour le scenario n° 1 , induisant des consequences plus lourdes si on le 
mene k fond, on preferera une revue de documents (walk-through) ou une simula- 
tion. 

Date du test 

La date et la duree du test seront fixees en fonction des disponibilites et des 
diverses contraintes, tout en tenant compte des possibility d’exercice des par- 
tenaires locaux ou contractuels. Le planning des tests doit etre considere 
comme un engagement fort, a respecter absolument. 

Une erreur courante consiste a prolonger les tests rencontrant des difficu Ites. 
Cette pratique est a eviter, l'objectif du test etant de mettre a jour la difficulty, 
pas de la resoudre. Il faut done bien separer les deux preoccupations : le test 
doit relever des difficulty, des anomalies ; le temps de leur resolution viendra 
plus tard. On ne doit pas rester « bloque » sur un probleme, mais le noter et pas- 
ser outre. C'est pour cette raison que les tests effectues en premiere instance 
sont de type check-list, walk-through ou simulation, car on rencontre, a ce stade, 
trop de problemes pour pouvoir derouler l'ensemble d’un scenario en mode 
reel. 
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La resolution des difficulty decouvertes se fera par des plans d’actions correcti- 
ves qui seront decides puis realises par la suite. Les progres realises seront 
mesures lors de la campagne de test suivante. 

Suivi et evaluation du test 

C’est un aspect essentiel : le cotit de la campagne de test etant elevd, celle-ci 
doit se reveler productive et permettre de tirer le maximum d'enseignements. 

Suivi des tests 

Consistant a collecter toutes les informations significatives sur le deroulement 
du test, le suivi pourra etre effectue par une assistance externe qui notera tout 
ce qui se passe en apportant un regard critique. Toutes les constatations doivent 
etre consignees, en realisant des fiches de test du type de celle presentee en 
exemple ci-apres : 


Tableau 6-1 : Exemple de bche de test a completer 


Fiche de test N°5/23-l 

Objectif : Verifier I'adequation de la configuration de reprise de I'application A3 

Test 

Qui? 

Constats 

1-1 : Se procurer la 
configuration de 
I'application A3 

- le testeur 

- le responsable 
d'application (RA) 


1-2 : Verifier la 
configuration A3 de 
secours 

- le testeur 

- le gestionnaire de 
la societe SecoursCo 


2-1 : Identifier les 
moyens techniques 
du secours A3 

- le testeur 

- le gestionnaire de 
SecoursCo 


2-2 : Mettre en 
marche le secours 
A3 dans les delais 
prevus 

- le testeur 

- le support de 
SecoursCo 


3-1 : Se procurer les 
sauvegardes A3 

- le testeur 

- la logistique 


3-2 : Restaurer les 
sauvegardes A3 

- le testeur 

- le support de 
SecoursCo 


4-1 : Tester un 
utilisateur 

- le testeur 



Outre les evenements constates, ces fiches peuvent egalement mentionner les 
dventuelles actions correctives detaillees sur des fiches prevues a cette effet. 
Cela servira a la redaction du bilan des tests. 
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En cas de difficulty a resoudre ou de decision a prendre, on procedera peu ou 
prou comme lors d'un sinistre reel, avec un dispositif un peu plus leger. Un coor- 
donnateur des tests sera designe et joignable en permanence pour cela. 

Criteres devaluation 

Mieux vaut preciser k l'avance les criteres qui vont etre utilises pour evaluer les 
tests. Les campagnes de tests peuvent en effet etre ciblees sur une problemati- 
que particuliere. Parmi les criteres recurrents figurent notamment : 

• l'existence ou non de documents importants tels que les analyses de risques, 
d'impact sur l'activite ou de strategic de continuite, les definitions de respon- 
sabilites, ou encore le planning de continuite ; 

• la validite de ces documents : sont-ils actualises ? par qui ? de quelle 
maniere ? 

• l'existence et l'actualisation des inventaires d'actifs ou des configurations sur 
lesquelles se basent les travaux de reprises ; 

• l'existence et l’actualisation des listes de personnel, avec indication du pour- 
centage d'erreurs, l'indication de suppleants, etc. ; 

• le degre de pertinence des contrats en cours concernant les services de 
secours, de sauvegarde ou de depannage ; 

• l'adequation des documents decrivant le plan de continuity ; 

• la dimension praticable des plannings, des locaux, des choix techniques qui 
sont faits dans le plan. 

Ces criteres doivent devenir des preoccupations permanentes et etre indiques 
de maniere a detecter lors de chaque test les manquements dans ces domaines, 
au-dela de ce que le test en lui-meme est suppose verifier. 

Suivi des depenses du test 

En termes de gouvernance de la continuity, il est necessaire de suivre avec 
attention les depenses engendrees par les tests. Il faut done en conserver la 
trace et verifier le respect d'un budget previsionnel. Les rubriques principales du 
budget seront : 

• les couts des jours-homme en interne consacres aux tests ; 

• les couts des jours-homme de prestataires externes ; 

• les couts factures par les societes de services de secours, de transports, de 
logistique ; 

• les cofits des eventuelles machines, serveurs, stockage et reseau mis a dispo- 
sition durant les tests et souvent factures k l’usage ; 

• les frais de transports, hotel, repas et menues depenses provoquees par les 
deplacements sur des sites de secours, par exemple. 

Les tests de type revue ou simulation sont nettement moins onereux que les 
tests grandeur nature. En general, on y allouera un budget annuel. Il faut alors 
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decider comment, dans le cadre de ce budget, les differents tests vont pouvoir 
etre planifies. 

Les plans d'actions correctives menes apres les tests sont en general comptes 
dans un budget different, souvent porte par les operationnels concernes. 

Phase 4 - Mise en place de la logistique de test 

Les tests necessitent une preparation tant des employes que des sites et des dif- 
ferents moyens materiels necessaires. Une logistique doit done etre prevue pour 
couvrir a la fois les besoins en personnel (constitution des equipes, deplace- 
ments, etc.) et en moyens techniques divers necessaires pour le test. Le person- 
nel habituel de l'entreprise devra lui aussi subir une preparation , de meme que 
les sites qui vont etre concernes - et done perturbes - par les tests. 

Equipe en charge des tests 

L'equipe de professionnels qui va piloter les tests est aussi chargee de les prepa- 
rer. Sa constitution, puisant dans les differents groupes decrits dans le chapi- 
tre 4, depend grandement de la nature, du perimetre et du type de test realise. 

A l'inverse de la pratique en audit qui recourt a des intervenants externes, il est 
souhaitable de faire realiser les tests par ceux-la meme qui meneront les actions 
testees en cas de sinistre. Cela vaut egalement pour les groupes responsables 
des differentes missions. Le test vaut exercice. 

Au sein de cette equipe de testeurs, on pourra egalement trouver : 

• des prestataires externes de societes de secours ; 

• des auditeurs qui peuvent ainsi suivre les tests, les evaluer et proposer des 
ameliorations ; 

• des clients souhaitant valider la solidite du plan de leur fournisseur et y 
participer ; 

• des specialistes techniques dans certains domaines pointus. 

Une fois l'equipe constitute, elle est autonome et doit se suffire a elle-meme. 

Moyens techniques 

D'autre part, il faut preparer les moyens techniques utilises durant les tests. 
Cela peut se limiter a une salle de travail equipee en PC pour un test de type 
walk-through (revue de documents), mais cela peut devenir beaucoup plus lourd 
en cas de test en conditions reelles. Dans ces derniers cas, le groupe de gestion 
de crise est mis a contribution pour l'approvisionnement en moyens de secours, 
qui fait partie de ses missions decrites dans le chapitre 4. 

A moins que la preparation ne soit elle-meme partie integrante du test, tout ou 
partie des moyens suivants devront en effet etre prets pour le test : 

• 1' infrastructure destinee au personnel testeur (PC, telephone, bureau, teleco- 
pieurs, copieurs, etc.) ; 
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• le materiel necessaire aux tests (lecteurs de bandes et cartouches, serveurs, 
stockage, telecommunications) avec les logiciels mis a jour et droits de 
licence adaptes ; 

• les reservations chez les prestataires ayant eux-memes prevus des tests en 
commun avec l’entreprise, ou chez les clients eventuellement impliques ; 

• toutes les reservations necessaires de specialistes en support technique en 
interne comme en externe ; 

• la documentation des tests, les formulaires et procedures degradees devant 
etre disponibles sur place ; 

• le site de gestion de crise, qui, s’il est utilise, doit etre pret pour etre active ; 

• enfin, les Aches de test a communiquer. 

La preparation logistique en elle-meme peut avoir ete l'objet du test precedent 
ou de plusieurs tests anterieurs. Dans ce cas, la preparation avant test s'arrete la 
oh le test commence, et ne porte pas sur les points qui seront precisement tes- 
tes. Cela permet de tester petit a petit l’ensemble du plan de continuite. 

Intendance et deplacements 

Les tests necessitent la presence de personnel de test sur des sites distants, 
chez des prestataires ou sur un site de gestion de crise lointain. 11 faut alors pre- 
voir toute l’intendance liee a ces deplacements, notamment : 

• prevoir qui devra se deplacer et ou, arranger les deplacements, reserver les 
hotels, etc. ; 

• demander les autorisations d'acces et les divers droits necessaires ; 

• reserver les creneaux de presence chez les prestataires, qui peuvent etre limi- 
tes par contrat. 

Sites de test 

De la meme maniere, les sites doivent avoir ete prepares en fonction des points 
que Ton veut tester. On procede done en trois temps : 

1 . faire la liste de ce qui est attendu du site de secours : dates de disponibilite, 
materiel present, logiciels et niveaux de mises a jour, documentation, sup- 
port technique, infrastructure particuliere, etc. ; 

2. constater ce que le site fournit sur ces points ; 

3. determiner l'ecart a combler. 

II est bon de visiter le site a 1’avance ahn de constater sur place les differents 
problemes potentiels. Si ce site est fourni par un prestataire, cette visite devra 
etre rendue possible par le contrat. 

Souvent les contrats de prestations imposent des dates ou des periodes assez 
restreintes pour effectuer les tests. De plus, le recours h des specialistes est sou- 
vent assez limite et facture a part par le prestataire. Il arrive enAn que certains 
prestataires soient tres exigeants sur le respect de conAgurations precises ou de 
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normes de securite plus elevees que celles que l'entreprise pratique en interne. 
Ces points sont done a etudier au plus pres avant de lancer les tests. 

Phase 5 - Planning et calendrier 

Cette phase du plan de test est essentielle, et, plus grand sera le soin apporte a 
sa realisation, plus les risques de depassement de delai et de budget seront 
reduits. Concrbtement, planifier la campagne de tests consiste h decrire les acti- 
vites et les tSches a effectuer, les affecter aux personnes adequates et prevoir 
leur date et duree de realisation. 

Pour arriver a cet objectif, on procede generalement en plusieurs etapes : 

1 . prendre en compte l'ensemble du contexte des tests (cadrage des objectifs, 
du perimetre et des contraintes ; prise en consideration de la tactique et des 
objectifs) ; 

2. selectionner dans le plan de continuite les missions et activites a effectuer 
(voir les chapitres 4 et 5), en les amenageant pour le test ; 

3. affecter les activites aux employes, en leur donnant une charge (temps passe, 
jours-homme) et des dates ; 

4. realiser des fiches de tests a remplir par les testeurs ; 

5. decrire le dispositif de suivi du test par des observateurs qui assurent le res- 
pect du cadrage et la realisation des objectifs. 

Plus l'entreprise a l'experience des tests, plus cette phase sera detaillee et, en 
tout cas, fiable. Par ailleurs, il est interessant de recuperer d'un test a l'autre ce 
qui a ete produit lors de cette phase. 

Phase 6 - Revue des risques du test 

L'objectif principal du plan de test est de reduire les risques entraTnes par les 
tests eux-memes. Il est alors judicieux de reunir certains des responsables de 
l’entreprise afin de faire un dernier bilan des risques et des differents parame- 
tres des tests avant leur execution. 

Ce bilan consiste a repondre aux questions suivantes : 

• Les objectifs des tests sont-ils corrects et bien presents dans les tests 
prevus ? 

• Le perimetre convient-il aux exigences des operationnels et des responsables 
de la continuite d'activite ? 

• Les contraintes sont-elles correctement formulees et respectees par le plan 
de test ? 

• Les scenarios, methodes et le suivi sont-ils bien adaptes au test que Ton veut 
realiser ? 

• La logistique et le planning ont-ils ete suffisamment prepares ou demandent- 
ils encore des ameliorations ? 

• Le suivi permet-il une remontee efficace des informations et des constats ? 
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• La preparation du personnel a-t-elle ete suffisante ? 

• Le degre d'implication des fournisseurs est-il correct ? 

• Le niveau d’information des clients est-il convenable ? 

Si l'ideal serait d'obtenir une reponse positive k chacune de ces questions, il 
n’est pas rare que certaines des reponses soient encore negatives lors de ce 
bilan, necessitant assez souvent des actions correctives complementaires telles 
que : 

• des reductions de perimetre ou de duree des tests ; 

• des visites de sites ou de fournisseurs permettant de preciser certains points ; 

• ['amelioration de la communication aupres du personnel ou des clients les 
avertissant des tests a venir ; 

• une revision des plannings et des charges ; 

• le recours a un prestataire pour le suivi des tests. 

Au final, les responsables doivent aboutir a un accord acceptable afin de donner 
le feu vert a l’execution du test. 

Phase 7 - Documentation du plan 

Le plan de test se materialise par un document qui reprend le contenu de toutes 
les etapes precedentes. 

Voici un exemple de structure d'un plan pour une campagne de tests. 


Plan de test 

N° d' identification , Version, Responsable, Validation 

1. Bilan des tests anterieurs 

2. Cadrage des tests 

2.1 . Objectif de la campagne de tests 

2.2. Perimetre concerne 

2.3. Contraintes a respecter 

3. Tactique de test 

3.1. Scenario 

3.2. Methode 

3.3. Suivi et evaluations 

3.4. Coordination 

4. Logistique des tests 

4.1. Equipes 

4.2. Moyens techniques 

4.3. Sites concernes 

5. Planning des tests 

5.1. Activites chiffrees 
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5.2. Affectation des equipes 

5.3. Fiches de tests 
6. Revue des risques 

6.1. Bilan des risques (questions/reponses) 

6.2. Actions de reduction des risques 


Executer les tests 


Une fois le plan de test complet et la revue des risques ayant donne le feu vert, 
la realisation des tests peut avoir lieu selon le plan prevu. 

Role et action des testeurs 

La campagne de test est lancee et l'equipe de testeurs en est informee Tout tes- 
teur doit avoir prealablement pris connaissance du scenario de tests, afin de s'y 
conformer au plus pres. 

Pour realiser les tests, le testeur doit avoir acces a deux types de documents : 

• le planning contenant les activites dont il a la charge ; 

• les fiches de test qu'il doit remplir. 

Malheureusement, dans le domaine de la continuite d’activite, il est rare que 
tout se passe comme prevu. En cas de doute ou de decision imprevue a prendre 
face aux evenements, le testeur doit avoir le reflexe de se tourner vers le coor- 
donnateur des tests. Ce dernier garde en effet la trace de toute demande remon- 
tee jusqu’a lui et de toute indication donnee. 

Consignation des constatations 

Produire des informations a partir des constatations des tests est la raison 
d'etre de la campagne de tests. 

Les fiches de test sont remplies et collectees, de preference sur le moment plu- 
tot que quinze jours apres les evenements. Bien des fiches etant remplies a la 
main et de maniere incomplete, un travail de collecte et de mise en forme est 
indispensable. Il doit y figurer les points particuliers que Ton cherche a verifier, 
mais aussi toute autre constatation utile au plan de continuite. 

Le tableau 6-2 donne un exemple de ce a quoi peut ressembler la fiche de tests 
precedente, une fois remplie. 

Les actions decrites dans cette fiche sont extraites d'operations qui visaient a 
tester la restauration d’un applicatif sur un site de secours gere par un presta- 
taire. Il aurait ete possible aussi d'y noter les durees ou les charges constatees 
pour la realisation des ces activites. Ces informations sont en effet tres utiles 
pour verifier la faisabilite d' ensemble. 
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Tableau 6-2 : Exemple de fiche de test completee 


Fiche de Test N°5/23-l 

Objectif : Verifier I'adequation de la configuration de reprise de I'application A3 

Test 

Qui? 

Constats 

1-1 : Se procurer la 
configuration de 
I'application A3 

- le testeur 

- le responsable 
duplication (RA) 

La configuration pour A3 
existe. 

Le RA la trouve inexacte. 

Le RA la met a jour : 2 jours- 
homme. 

1-2 : Verifier la configuration 
A3 de secours 

- le testeur 

- le gestionnaire de 
SecoursCo 

La configuration de secours 
pour A3 n'existe pas. 

II existe une configuration 
pour A2 (ancienne version 
d'A3). 

2-1 : Identifier les moyens 
techniques du secours A3 

- le testeur 

- le gestionnaire de 
SecoursCo 

Les moyens techniques pour 
A2 sont identifies mais le 
serveurX n'est pas 
disponible 

2-2 : Mettre en marche le 
secours A3 dans les delais 
prevus 

- le testeur 

- le support de SecoursCo 

Seule une partie des moyens 
pour A2 peut demarrer (en 
4 heures). 

Les moyens A3 ne peuvent 
etre mis a disposition dans 
les delais. 

3-1 : Se procurer les 
sauvegardes A3 

- le testeur 

- la logistique 

La logistique ne sait pas ou 
se situent les sauvegardes 
A3. 

Seules les sauvegardes A2 
sont trouvees et apportees 
sur le site. 

3-2 : Restaurer les 
sauvegardes A3 

- le testeur 

- le support de SecoursCo 

Echec. 

4-1 : Tester un utilisateur 

- le testeur 

Echec. 


Remarque 

On remarque dans I'exemple cite que le testeur est alle au bout des possibility en pre- 
nant deux decisions : ne possedant pas la bonne configuration, il a neanmoins essaye de 
voir si le prestataire externe de secours pouvait proposer I'ancienne (decision 1 ). Ayant la 
aussi decouvert une anomalie, il a alors arrete le deroulement des tests (decision 2). Ce 
test a done ete productif de resultat. 
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Bilan des tests 

Pour un ensemble de tests donne, un bilan peut etre realise a partir des diverses 
sources d’informations utiles disponibles : 

• les fiches de test remplies ; 

• la main courante du coordonnateur ; 

• les comptes rendus des reunions de debriefing. 

Ce bilan peut prendre la forme suivante et son plan peut d'ailleurs fort bien etre 
repris pour constituer 1'ordre du jour des reunions de debriefing. 


Bilan de la campagne de tests 02-08/2 

1. Rappel du plan de test (voir la section precedente) 

2. Objectifs des tests 

2.1. Objectifs atteints 

2.2. Objectifs non atteints 

2.3. Causes de I'echec 

3. Taches detest 

3.1. Taches realisees 

3.2. Taches non realisees 

3.3. Causes de I'echec 

4. Defauts detectes dans le PCA 

4.1. Maitrise des risques 

4.2. Analyse d'impact sur les activites 

4.3. Strategie de continuite 

4.4. Missions et responsabilites 

4.5. Planning des activites 

4.6. Tests 

4.7. Cestion des changements 

5. Problemes detectes 

5.1. Concernant les tests 

5.2. Concernant le PCA 

6. Propositions d'amelioration 

6.1. Pour les tests a venir 

6.2. Pour le PCA 

7. Plan d'action pour I'amelioration 

8. Bilan general des tests (cout, duree, charge) 


Suivi des actions d'amelioration 

Les actions d'amelioration proposees doivent faire l'objet d’une validation et 
d'un suivi. En effet, elles impliquent generalement des cofits de projet et 
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d'investissement divers necessitant de les integrer dans un budget. Le suivi de 
ces actions tout au long de l’annee est realise specifiquement par la Direction de 
la continuite d’activite, a qui incombe la responsabilite de leur bonne fin. 

La prochaine campagne de tests pourra en partie verifier, si cela est pertinent, la 
bonne realisation des actions decidees. Si cette campagne est effectuee avant la 
mise en place de ces actions, tombant sur les memes defauts, elle notera qu'ils 
sont en cours de suppression. 



Cpartie 



L’ingenierie 
de la continuite 


La technologie peut fournir un concours appreciable pour rendre l’entreprise 
plus resiliente. Encore faut-il evaluer son apport reel dans la situation particu- 
liere de chaque entreprise. C'est ainsi le role de l'ingenierie de rendre ce qui est 
theoriquement possible concretement realisable. 

Cette partie aborde la mise en oeuvre pratique des diverses technologies propo- 
sees sur le marche et utilisees en partie par les entreprises. Elle se structure en 
quatre chapitres : 

• Le chapitre 7 presente les notions de fiabilite, de disponibilite et d'architec- 
ture technique utiles pour la suite. 

• Le chapitre 8, consacre a l’informatique au centre de donnees, traite de la dis- 
ponibilite des serveurs, du stockage et des reseaux du centre informatique 
qui sont au coeur de l'activite de 1'entreprise. 

• Le chapitre 9 traite de l’infrastructure et du poste de travail, abordant ainsi 
l'environnement direct de l'employe dans son bureau, avec son ordinateur 
personnel et son environnement bureautique. 

• Enfin, le chapitre 10 traite de la specificite du centre informatique propre- 
ment dit, afin que celui-ci constitue un point fort du dispositif. 

Le schema ci-apres decrit la logique d’ensemble. 
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Schema general des moyens informatiques 


Chapitre 7 


Construire 
la disponibilite 


La continuite d'activite est une affaire d’organisation, de planifi cation et de 
technologie. La maniere dont la technologie est utilisee a des consequences 
souvent negligees sur la disponibilite des moyens et done sur la continuite des 
activites qui y recourent. 

Ce chapitre decrit les notions de base de la disponibilite et presente des modes 
d'utilisation permettant 1'amelioration de la continuite d'activite. 11 donne des 
recommandations pour le choix des architectures, la mise en oeuvre et les pre- 
cautions k prendre pour que l’usage des technologies soit benefique en termes 
de continuite. 


Notions statistiques 


Les probability et les statistiques sont utiles pour decrire le comportement des 
materiels divers, qui peuvent tomber en panne et ainsi deteriorer la continuite 
d'activite. Les notions de fiabilite, de disponibilite et de maintenabilite sont 
done importantes pour selectionner les configurations materielles et logicielles 
les mieux adaptees aux besoins de continuite de l'entreprise. 

Disponibilite 

La disponibilite d'une machine indique la proportion du temps pendant lequel 
cette machine fonctionne comme prevu. Elle est souvent donnee par un pour- 
centage, qui doit btre evidemment le plus proche possible de 100%, le reste 
etant appele l'indisponibilite. 

II est d'usage, en matiere de disponibilite, de compter les « 9 » et de classer 
selon leur nombre. On parle couramment de disponibilite allant jusqu’a 
99,999%, qualifiee de five nines en anglais ou « cinq neufsx Ce chiffre 5 est 
devenu en quelque sorte un ideal a atteindre. A quoi cela correspond-il dans la 
realite ? 


<E> 
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Le tableau suivant donne les temps d'arrets maximaux a ne pas depasser pour 
respecter, sur une annee, les disponibilites indiquees, sachant que la machine 
en question doit fonctionner vingt-quatre heures sur vingt-quatre. 


Tableau 7-1 : Disponibilite et temps d'arret maximaux 


Classe de 9 

Disponibilite 

Temps d'arret maximum 
par an 

2 

99% 

87 heures et 36 minutes 

3 

99,9 % 

8 heures et 46 minutes 

4 

99,99 % 

52 minutes 

5 

99,999 % 

5 minutes et 12 secondes 

6 

99,9999 % 

31 secondes 


Cela signifie que si notre machine respecte dans son cahier des charges une dis- 
ponibilite « a cinq neufs », elle ne pourra pas cumuler plus de 5 minutes et 12 
secondes de panne ou d'arret dans l'annee. 

Cependant le probleme est que, en cas d'arret de cette machine, cela demande- 
rait beaucoup plus de cinq minutes pour la remettre en marche ou la remplacer 
par une autre equivalente. Il faut done analyser la disponibilite sous ses deux 
constituants : la panne et la facilite de reparation. 

Enfin, autre aspect important, la disponibilite est souvent mesuree dans les 
conventions de service a la fois par annee pleine, comme ci-dessus, et en 
moyenne annuelle sur cinq ans, par exemple. Si Ton reprend le tableau prece- 
dent, une machine disponible a 99,999 % sur cinq ans peut se permettre une 
panne de 26 minutes consecutives en une seule fois sur ces cinq ans. En revan- 
che, l'annee de la panne, elle ne satisfait pas au critere des cinq neufs dans 
l’annee. Les chiffres sont done a interpreter avec precision. 

Fiabilite et reparabilite 

La fiabilite mesure la propension a ne pas tomber en panne. La reparabilite 
mesure la facilite a reparer et done a remettre en marche. Ces deux notions vont 
de pair pour indiquer la disponibilite. 

Entre deux pannes consecutives, il s'ecoule un certain temps, la moyenne de ces 
temps constates sur une longue periode est nommee « moyenne des temps de 
bon fonctionnement » (MTBF). Plus la MTBF est elevee, plus la machine est lia- 
ble. 

Le temps passe a reparer est variable, une moyenne peut etre calculee : la 
« moyenne des temps des travaux de reparation » (MTTR). Plus la MTTR est fai- 
ble, plus la machine est reparable rapidement. La notion de reparation est h 
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prendre au sens large : il peut s’agir tout aussi bien d’un remplacement pur et 
simple. 

En general, la MTBF se mesure en dizaines, voire centaines de milliers d'heures, 
alors que la MTTR se compte tout au plus en jours. 

La MTBF est une donnee attachee a une machine, a un fabricant, et I’exploitant 
ne peut pas y changer grand chose. La MTTR, en revanche, lorsqu'elle porte sur 
du materiel standard, depend beaucoup de l’organisation de l’entreprise. Il est 
en effet possible de prevoir des pieces de rechange ou une machine de secours, 
de maniere a reduire ce delai au minimum. 



On appelle taux de defaillance l’inverse de la MTBF et taux de reparation l’inverse de la 
MTTR. 

Les statisticiens nous donnent les formules suivantes : 

I lndisponibilite = I = MTTR / (MTBF+MTTR) 

Disponibilite = D = MTBF / (MTBF+MTTR) 

Les disponibilites d'une machine en fonction de ses MTBF et MTTR peuvent etre 
donnees par un tableau du type suivant. 
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Tableau 7-0 : Disponibilite en fonction des MTBF et MTTR 


MTBF 

si MTTR = 12 h 

si MTTR = 1 h 

10 000 h 

99,88 % 

99,99 % 

20 000 h 

99,94 % 

99,995 % 

100 000 h 

99,988 % 

99,999 % 

200 000 h 

99,994 % 

99,9995 % 

500 000 h 

99,998 % 

99,9998 % 


Gardant k I’esprit la cible des cinq neufs, la lecture de ce tableau est instructive, 
car elle demontre que : 

• Si Ton ne peut pas reparer la panne en moins de douze heures, alors il n'y a 
aucun moyen d'obtenir les cinq neufs vises. Cela ne sert a rien d'acquerir du 
materiel haut de gamme a haute fiabilite (MTBF elevee). 

• Si Ton peut reparer en une heure, alors un materiel dans le milieu de tableau 
(avec une MTBF de 100 000 heures) pourra obtenir la disponibilite des cinq 
neufs. 

• Si quatre neufs suffisent, alors un materiel ayant une MTBF de 10 000 heures 
suffira si Ton sait assurer une reparation en une heure. 

Le prix du materiel depend beaucoup de la MTBF : plus celle-ci est elevee, plus 
le materiel est cher. Le tableau ci-dessus etant donne a titre d'illustration, il est 
rare qu'un meme materiel ait des taux de fiabilite aussi differents. En realite, a 
disponibilite egale, il est necessaire de faire un choix entre deux scenarios extre- 
mes pour l'achat de materiel, informatique ou non. Ces scenarios peuvent etre 
types ainsi : 

1 . acheter une machine plutot bon marche, qui tombera en panne assez sou- 
vent (une fois par an ?) mais que Ton saura reparer vite (en moins d'une 
heure), parce que Ton aura prevu des pieces de rechange, par exemple - la 
frequence reguliere de la panne fait d'ailleurs que Ton sait, a force, bien la 
reparer ; 

2. acheter une machine onereuse, a haute disponibilite, qui ne tombera en 
panne que tres rarement (une fois tous les sept ans ?) - peut-etre ne saura-t- 
on pas la reparer, mais statistiquement, la machine sera remplacee avant que 
la panne n’arrive ; il est rare en effet qu'un materiel soit conserve plus de cinq 
ans. 

Au final, le choix se fixera toujours sur une option se situant entre ces deux 
extremes. 

I Attention : Ne pas tout miser sur la fiabilite aux depens de la reparabilite ! 

La tendance naturelle, malheureusement, est de chercher avant tout la fiabilite au prix 
fort et de negliger la reparabilite. II se revele pourtant tres utile d'etudier les possibilites 
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I en cas de panne de la machine : prevoir des pieces de rechange, voire une machine de 
secours, permet en effet d'ameliorer tres fortement la disponibilite, sans pour autant gre- 
ver les couts. 

Les modeles redondants 

Un modele redondant permet d'ameliorer la disponibilite en multipliant tous 
ses elements vitaux par deux. Ainsi, il faudra subir deux pannes au lieu d’une 
pour rendre le modele redondant indisponible, la deuxieme panne survenant 
alors que la premiere n’a pas encore ete reparee. Ce modele est dit « a tolerance 
de panne ». 



Figure 7-2 : Le modele redondant 


L'indisponibilite resultante etant le produit des indisponibilites de chaque 
machine, elle est ainsi beaucoup plus faible. Un ensemble de deux elements « a 
deux neufs », par exemple, devient « a quatre neufs ». La disponibilite est done 
plus forte, mais le cout a lui aussi double ou presque. En outre, si la panne arrive 
malgre tout, alors plus rien ne marche. 

De plus, dans le cas de serveurs informatiques, il est necessaire de s’assurer que 
les donnees sont accessibles par les deux machines et que les utilisateurs peu- 
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vent etre reconnects de 1’une a l'autre. Cela suppose de partager 1'acces aux 
donnees entre les deux machines et de prevoir egalement en double les con- 
nexions. Il faut done ici considerer aussi le probleme de la defaillance du stoc- 
kage des donnees et de l’indisponibilite du reseau (voir le chapitre 8). 

Ce modele possede plusieurs variantes, en fonction de I’utilisation des deux 
machines : une machine peut etre libre pendant que l’autre travaille ou la charge 
peut etre repartie sur les deux en parallele. Dans ce dernier cas, il faudra alors 
tenir compte de la fiabilite de l'element repartiteur. 

L' inconvenient principal des modeles redondants reside done dans le fait que 
chaque fois qu'on introduit un element de solution, on introduit par la meme 
occasion une nouvelle source de panne possible. 

Le modele n+1 

Dans le modele dit n+1, la charge de travail est repartie sur n machines. Une 
machine supplemental est mise a part, a l’arret ou en veilleuse. Cette machine 
inactive est destinee a remplacer la machine defectueuse en cas de panne, apres 
un delai d'activation plus ou moins long. Lorsqu'il s'agit de serveurs informati- 
ques, on parle souvent de cluster ou « grappe » n+1. 

Il en resulte que, pour que l'ensemble tombe en panne, il faut que deux machi- 
nes au moins tombent en panne parmi le nombre n. L'indisponibilite conse- 
quente peut done se calculer ainsi : 

| Indisponibilite resultante = n x (n-1 ) x I 2 

Remarquons que si Ton fait cet exercice avec, par exemple, dix machines de 
classe 2, on ne gagne quasiment rien en disponibilite (99, 1 % au lieu de 99 %) ! 
En revanche, le benefice de ce modele reside dans la consequence de la panne, qui 
est fortement minimisde : au lieu de tout perdre, on ne perd qu’un dixieme des 
machines, et done un dixieme de la capacite de traitement. Le risque est done 
diminue a proportion. C'est pour cette raison que les operateurs de type fournis- 
seurs d’accbs a Internet, par exemple, repartissent leurs traitements sur une 
grande quantite de serveurs moyennement fiables. Ils obtiennent ainsi souvent 
des pannes aux effets marginaux, qu'ils savent reparer rapidement. 

Avec dix machines de classe 3, on obtient un ensemble de classe 4. La encore, 
l'effet de la panne est de perdre un dixieme de la capacite de traitement. Enfin, 
en termes de cofit, les machines necessaires pour realiser ces grappes sont 
moins puissantes et done moins onereuses. Meme s’il faut en acheter un nom- 
bre plus important, le cofit total reste inferieur. 

Prise en compte de la panne de mode commun 

Les analyses precedentes ne doivent pas pour autant negliger la panne dite de 
mode commun. En effet, ce type de panne est transverse au probleme considers 
Lorsqu'on etudie par exemple des serveurs de constructeurs differents mais 
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Figure 7-3 : Le modele n+1 


fonctionnant avec des ventilateurs de meme modele et du meme fournisseur, 
alors la panne de ventilateur aura des caracteristiques communes a tous. 

Par extension, la panne de mode commun est celle qui s’impose a tous et qui 
evite de calculer trop loin. . . Lorsqu'on etudie la fiabilite d'un ensemble de ser- 
veurs, ce sera par exemple la panne d'electricite. On aura beau reduire les indis- 
ponibilites des serveurs par diverses approches, il arrive un moment ou une 
autre panne, non prise en compte auparavant car trop peu probable, s'impose 
desormais comme la plus grave. Il ne sert a rien, en effet, d'arriver a une disponi- 
bilite de classe 4 avec des serveurs si leur alimentation electrique est toujours 
en classe 3, par exemple. 

L'analyse des risques doit done absolument rechercher ce type de panne gene- 
rale, permettant de savoir oil porter reellement ses efforts. De plus, si c'est cette 
panne que Ton doit subir, cela permet de ne pas trop pousser la recherche de 
disponibilite du reste. 

Les exemples de panne de mode commun ne manquent pas : 

• pannes de fournitures et d'alimentation electriques sur toute la chaine de 
distribution ; 

• bogues dans un logiciel : un bogue dans une application sur un serveur se 
retrouvera sur le serveur de secours ; 

• panne du systeme d’exploitation ou du middleware (logiciel intercale entre le 
materiel et l'application), qui peut etre commun a plusieurs machines : une 
panne sur l’une risque fort de se retrouver sur l’autre - les produits de virtua- 
lisation entrent dans cette categorie ; 

• defaillance d’un systeme informatique utilitaire utilise par tous (coupe-feu, 
antivirus ou serveur d’autorisation) qui empeche le fonctionnement de tous 
les autres serveurs en attente ; 
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• panne des systemes de refroidissement ou de climatisation, particulierement 
sensibles avec des serveurs a haute compacite (serveurs lames) ; 

• atteinte aux gaines enterrees : cables de reseau, telephonie, eau, gaz, electri- 
cite, etc.,peuvent etre deteriores par une pelleteuse ou un eboulement de 
terrain ; 

• par extension, des evenements qui s'imposent a tous, comme les arrets for- 
ces pour le changement d’heure des systemes qui ne le font pas automatique- 
ment, par exemple, ou les coupures obligatoires de courant pour controle ; 

• enfin, bien evidemment, tout ce qui est de l’ordre du tremblement de terre, de 
l'incendie, de l’inondation et autre sinistre detruisant tout un ensemble sans 
distinction. 

Exemple : la pelleteuse et le pont de Suresnes 

Les environs de Puteaux et de Courbevoie ont vu s'implanter de nombreux sites informa- 
tiques. Dans les annees 80, la societe 5LG avait un centre important dont la connexion 
au reseau X25 etait vitale a I'epoque. Un contrat de disponibilite avait ete negocie avec 
un grand operateur qui fournissait plusieurs connexions parallels independantes. 

Un jour, une panne de reseau survient ; les lignes basculent sur le secours... Or lui aussi 
est en panne. Plus aucune connexion reseau ne fonctionne. Une pelleteuse au bord du 
pont de Suresnes avait malencontreusement sectionne des cables. Et si I'operateur avait 
effectivement prevu deux cheminements differents, pour le passage de la Seine, les deux 
voies se retrouvaient cote a cote sur le pont, creant ainsi les conditions d'une panne de 
mode commun. 

Dans certains cas, on peut reduire la probability d’occurrence d’une panne de 
mode commun ou en diviser les effets pour eviter qu'elle soit commune. 

On peut limiter les situations oil ce type de panne provoque un sinistre, en met- 
tant en application le bon sens populaire : « ne pas mettre tous ses oeufs dans le 
meme panier ». En pratique, cela se traduit par des recommandations mention- 
nees dans les chapitres 8, 9 et 10. 


Arrets de Fonctionnement 


L'indisponibilite se traduit par un arret du fonctionnement des machines. On 
distingue deux types d'arrets : planifies ou non. L’interruption non planifiee cor- 
respond aux diverses pannes et se gere en termes de fiabilite et de reparabilite. 
Cela ne veut pas dire pour autant que l'arret planifie n'est pas subi lui aussi 
comme une contrainte dont on voudrait se passer. 11 doit faire l’objet d'une ges- 
tion tout aussi soigneuse. 

Arret planifie 

L’arret planifie est une interruption du fonctionnement des machines qui est 
prevue et normalement arretee au calendrier. 
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On distingue trois causes d'arrets planifies : 

• les arrets permettant de faire evoluer la machine - il s’agit de remplacer 
un element par un autre plus efficace ou d'ajouter des composants pour ren- 
dre la machine plus puissante, par exemple ; 

• les arrets pour maintenance - un piece vieillit et doit etre remplacee pour 
eviter la panne ; un systeme d’exploitation doit etre corrige pour resister a 
une faille de securite ou a un virus. . . ; 

• les arrets reglementaires - ils sont effectues pour proceder a des controles 
techniques ou changer certains parametres (changer l'heure sur certains 
materiels, par exemple). 

Les evolutions technologiques cherchant a minimiser l’impact de ces arrets, il 
est possible de plus en plus d’ajouter de la memoire ou de changer un ventila- 
teur sans arreter toute la machine. Les efforts sur le materiel ont permis de limi- 
ter les cas oh 1'arret s'impose. On parle alors d' element inserable a chaud (hot 
pluggable). En revanche, en ce qui concerne le systeme d'exploitation, les mid- 
dlewares et les applications, il est beaucoup plus difficile d’eviter 1'arret, ne 
serait-ce que parce que la plupart des ameliorations installees ne deviennent 
effectives qu'apres redemarrage de la machine - operation qui necessite quel- 
ques minutes. 

Lorsque 1'arret de la machine est encore inevitable, les assemblages de type n+1 
sont plus facile h exploiter : il permettent par exemple de n'arreter qu'une 
machine sur les n, puis de la redemarrer avant d' arreter la suivante, et ainsi de 
suite. Dans les systemes redondants, il faut dans le meilleur des cas que la 
charge puisse se satisfaire d'une seule machine et que Ton puisse arreter 50 % 
de la puissance pour mener l’operation. On effectue generalement ces actions 
lorsque la charge est faible, la nuit par exemple. 

De plus en plus, en effet, les arrets planifies sont vecus comme des contraintes 
peu commodes. Pour des serveurs web ouverts au grand public (services bancai- 
res, par exemple), on cherche a les effectuer au moment du plus faible trafic (en 
general le dimanche, vers deux heures du matin). 

La possibility de raccourcir - voire d'eliminer - les temps d'arret planifies est 
interessante a considerer dans les criteres de choix de materiels. 

Impact de 1'arret 

Lorsqu'un systeme s’arrete, que ce soit a cause d’une panne ou d'un arret plani- 
fie, l'impact sur le service ou les traitements assures peut etre variable selon les 
situations. 

• Pour un systeme simple : tout est interrompu. On effectue les actions de 
reparation ou de remise en etat et le redemarrage n’a lieu que lorsqu'elles 
sont achevees. Cela peut etre long et difficile a prevoir. 

• Pour un systeme redondant : la premiere panne ne devrait a priori pas se 
sentir, grace au systeme de basculement sur le second systeme, mais il arrive 
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que celui-ci ne soit pas immediat. Tous les usagers etant sur le meme sys- 
teme, ils sont traites de la meme maniere, mais il faut pour bien faire que les 
donnees et le reseau soient accessibles aux deux machines indifferemment. 
Cela peut tout aussi bien aller vite et s’automatiser en partie, comme cela 
peut ne pas etre totalement maTtrise par les exploitants. Bien evidemment, si 
la panne est double, tout est arrete et on est alors ramene au cas precedent. 

• Pour un systeme en grappe n+1 : les traitements et les utilisateurs sont 
repartis sur n systemes. Ne sont done concernes par la panne que les 1 At uti- 
lisateurs de 1’element defaillant. Normalement, le systeme de secours rem- 
place assez vite le systeme en panne et les utilisateurs sont peu touches. De 
plus, comme cette panne se produit relativement souvent, les operateurs 
savent la traiter. En cas de deuxieme panne, les 1 In utilisateurs sont alors 
arretes pour de bon. Ils ne retrouvent le service que lorsqu'un systeme sup- 
plemental de reserve est demarre ou repare. La encore, pour que tout ceci 
fonctionne bien, il faut que les donnees et le reseau soient accessibles a tou- 
tes les machines. Sur ces systemes, la panne peut fort bien ne pas etre decou- 
verte tout de suite car les effets en sont reduits et peuvent ressembler a des 
problemes de performance. Il faut done bien surveiller ces systemes. 

Les questions cruciales a se poser s'averent done etre des questions d'architec- 
ture technique : ne faut-il qu'un seul serveur - auquel cas il faudra une machine 
a tolerance de panne ? peut-on repartir les traitements sur n machines - auquel 
cas on aura recours a une grappe de serveurs ? 

Lorsque se produit une panne dite de mode commun, les systemes qui en sont 
victimes ne fonctionnent plus, quelle que soit leur resilience propre. Il faut alors 
avoir prevu un mecanisme de secours ou un redemarrage sur un environnement 
non soumis a cette panne. C’est ce qui est fait generalement en disposant de 
plusieurs sites. 


Site secondaire et site distant 


Toutes ces considerations entrainent en effet les entreprises a definir trois types 
de sites afin de repartir les risques et de diminuer les consequences de 
sinistres : un site primaire et un site secondaire k faible distance d’un de l’autre, 
ainsi qu’un troisieme site distant, eloigne de l'ordre de cent kilometres au moins 
des deux autres. 

Le duo primaire-secondaire 

Afin de limiter les risques lies a une panne ou a un sinistre local, il est recom- 
mande de repartir les elements techniques sur deux sites voisins. Eloignes de 
quelques centaines de metres ou de quelques kilometres au maximum, ces sites 
sont qualifies de « campus » ou « metropolitains » par les anglo-saxons : on 
peut souvent aller de l’un a l'autre sans passer par le domaine public. 


Chapitre 7 - Construire la disponibilite 


Le but de cette repartition est triple : 

I Limiter les pannes de mode commun - 11 taut done faire attention a bien 
separer les alimentations electriques, les cheminements de cables divers, les 
acces telecom, etc. Une panne sur un site ne doit pas generer une panne sur 
l’autre. 

2. Permettre la repartition des systemes en grappes ou en redondance - La 

moitie des serveurs se trouve sur un site, l'autre moitie sur l'autre. 11 en va de 
meme pour le stockage. Les distances faibles, ne depassant pas quelques 
kilometres (chiffre en hausse permanente, mais limite par les lois de la phy- 
sique), permettent en effet ces choix technologiques. 

3. Faciliter la reprise d’un site sur l’autre - En cas de sinistre sur l'un des 
sites, l'autre est suffisamment proche pour simplifier les activites de reprise. 
Grace aux technologies recentes de repartition de charge, la bascule de la 
charge d’un site sur l'autre (ou plutot d'un serveur sur un autre au sein d’une 
grappe) est une activite courante. 

La plupart des architectures techniques, meme monolithiques, permettent une 
repartition sur deux sites proches relies par des liens a haut debit fiables. 

Le site distant 

Ce troisieme site est eloigne des deux autres de quelques centaines de kilometres. 

II ne doit pas etre soumis aux memes sinistres dits regionaux : altitude, bassin flu- 
vial, zone sismique differents, de meme que les equipements potentiellement 
dangereux se trouvant a proximite (aeroport, industries a risque, etc.). 

En cas de perte des deux sites primaire et secondaire, ce troisieme site sera uti- 
lise comme lieu de reprise. La probability qu'on y ait recours est certes plus fai- 
ble et les technologies d'assistance au redemarrage sont egalement d'une autre 
nature. Pour cette raison, certaines entreprises ne prevoient pas ce site comme 
s'il etait leur propriety, mais font appel a une prestation. 

En realite... 

Les entreprises qui travaillent sur trois sites selon le modele ideal decrit ci-des- 
sus sont fort peu nombreuses. 

Certaines entreprises qui ont deja mis en place un schema a deux sites metropo- 
litains voisins considerent comme exceptionnelle la necessity d'un site distant. 
D’autres ne possedent qu’un seul site principal simple sur lequel elles repartis- 
sent leurs moyens, assorti d’un site distant (100 km) vers lequel elles envoient 
regulierement des fichiers ou des elements susceptibles de faciliter la reprise. 
D'autres, enfin, n'ont qu'un seul site en tout et pour tout et sont peu preparees 
a redemarrer ailleurs. 

Sans atteindre forcement l'ideal presente ci-dessus, il est recommande de diver- 
sifier au maximum ['emplacement des elements necessaires a la reprise de 
l’activite. 
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Types d’architectures 


Pour adapter les schemas precedents aux systemes informatiques, il est primor- 
dial de considerer la maniere dont les applications et les donnees peuvent se 
repartir sur les systemes techniques et les sites. 

Entrer dans le detail de ces aspects serait fastidieux et sortirait du cadre de cet 
ouvrage ; il est neanmoins necessaire de connattre dans les grandes lignes les 
differentes categories techniques dans lesquelles on peut classer les applica- 
tions. 

Architecture monolithique 

Dans une architecture monolithique, il est impossible de decouper les applica- 
tions, et les donnees sont d'un seul tenant. Cette situation se rencontre trbs 
souvent dans les applications traditionnelles d’entreprise : le fichier du person- 
nel, par exemple, est unique et la paie est geree par un seul programme ou 
groupe de programmes. L'acces des programmes aux donnees est assez rudi- 
mentaire et exclusif. 

Dans ces conditions, il n’est pas possible de simplement repartir les traitements 
sur plusieurs machines. Il va falloir alors mettre en jeu des mecanismes de tole- 
rance de panne ou de redondance simple 100/0, c'est-a-dire avec une machine 
supportant 100 % des traitements tandis qu’une autre est en attente a cote. 

On se trouve cette fois dans la situation inverse : les traitements sont realises en 
sequences plus courtes ne portant que sur une partie des donnees. Les donnees 
elles-memes peuvent etre reparties en lots relativement independants. 

Architecture granulaire 

Par construction, les dependances entre traitements et les liens entre les don- 
nees sont suffisamment reduits pour qu'il soit possible de distribuer ces appli- 
cations sur n serveurs. L’execution d’une application pour un utilisateur donne 
se traduira ainsi par l’execution de plusieurs traitements les uns a la suite des 
autres sur des plateformes differentes ayant des echanges plus ou moins com- 
plexes entre elles. On parle assez souvent, dans ce contexte, d'architecture 
« client-serveur » et de « n tiers », ou encore d’environnements « granulaires et 
autonomes ». 

Ces traitements se pretent aisement a des approches de type grappe n+1. 
L'importance du reseau assurant des echanges entre les machines est accrue 
dans ce type d'architecture. 

Une realite multiple 

Bien evidemment, en realite, l'entreprise cumule diverses situations decoulant 
de 1'histoire de ses choix informatiques. 
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• Les situations monolithiques se rencontrent souvent dans les environne- 
ments de type « grands systemes » anciens ou avec les grandes bases de don- 
nees conques dans les annees 1980-1990 qui sont tou jours en exploitation 
sans modification. 

• Les architectures granulaires se rencontrent beaucoup dans l'informatique 
des serveurs web, des serveurs d'applications pour Internet et des divers 
outils associes (pare-feu, anti-virus, gestionnaire d'identites). 

Les grands progiciels d'entreprise cumulent souvent ces deux types 
d’architectures : monolithique pour les bases de donnees centrales, assez gra- 
nulaire pour des traitements de modules professionnels ou pour des presenta- 
tions de donnees specifiques, le tout couple a des applications beaucoup plus 
anciennes (dites « heritees »), la plupart du temps monolithiques elles aussi. 
Dans la realite, on aura done a faire cohabiter des systemes a tolerance de pan- 
nes, des systemes redondants et des grappes n+ 1. 11 faudra cependant prendre 
soin de bien choisir l'architecture la mieux adaptee k chaque usage. 



Chapitre 8 


L’inFormatique 
au centre de donnees 


Le centre de donnees, ou centre informatique, abrite des elements cles pour 
1'activite de l'entreprise : les serveurs, le stockage et des materiels de reseau ou 
peripheriques. La maniere dont ces differents materiels sont choisis, organises 
et geres va influencer la disponibilite generale des services qu'ils produisent. 
Des recommandations en matiere de choix d' architecture et des listes de points 
importants a considerer s'imposent pour mettre en oeuvre une informatique 
propice a la continuite d'activitd. 


Les serveurs 


Les serveurs jouent un role central dans les traitements informatiques. Pour 
ameliorer leur disponibilite, differentes approches se sont developpees, qui 
mettent en oeuvre les concepts presentes precedemment (voir figure 8-1). 

Les solutions presentes sur le marche ont differentes caracteristiques qu'il est bon 
de connaftre lorsqu'on construit sa strategie de continuite (voir le chapitre 3). 

Serveurs a tolerance de panne 

L'une des manieres d’obtenir des machines fiables consiste a doubler les ele- 
ments qui risquent le plus de subir une defaillance et h s’assurer par un systeme 
approprie que la machine, en cas de panne d’un element, utilise automatique- 
ment l'autre. 

Les machines ainsi congues sont dites « a tolerance de panne » ( fault tolerant), en 
ce sens qu'elles acceptent une panne de chacun des composants doubles. 
Lorsqu'un element est tombe en panne, la machine continue a fonctionner et 
1'administrateur a juste a changer la piece ulterieurement, la plupart du temps 
sans interrompre le systeme. 

Ces machines ont connu leur heure de gloire dans les annees 1985-1995. Les 
marques Tandem et Stratus se sont illustrees dans ce domaine. Elies sont plus 
cheres que des machines normales, pour deux raisons : 


<B> 
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Figure 8-1 : Schema d'un serveur et de son stockage 


• une bonne partie du materiel existant en double, la note est elle-meme 
doublee ; 

• le systeme supervisant le bon fonctionnement en cas de panne est peu com- 
mun - son prix est en consequence. 

Lors de P appreciation des risques sur ces machines, on prendra de preference le 
scenario dans lequel la panne la plus a craindre est de mode commun. La 
machine etant suffisamment fiable, le risque premier est en effet la perte du site 
ou de l'alimentation electrique, par exemple. La solution sera alors de placer 
une machine de ce type sur le site principal en prevoyant une autre machine 
hors de portee des pannes de mode commun, c’est-a-dire a distance et alimen- 
tee differemment. 

Mise en grappe 

Concernant les serveurs, les offres de mise en grappe, ou clustering, sont nom- 
breuses et riches en fonctionnalites. Pour rester dans le cadre de cet ouvrage, 
nous n'abordons que les aspects ayant trait a la continuite d'activite. 


Chapitre 8 - L’inFormatique au centre de donnees 


Les points a considerer pour mettre en oeuvre des mecanismes de continuity 

sont les suivants : 

• considerer la repartition des charges : est-elle souple et dynamique ou figee ? 

• determiner ce qui peut etre isole en cas de defaillance, ou ce qui peut etre 
echange immediatement sans interruption ; 

• determiner - et si possible eliminer - les points uniques de defaillance ; 

• considerer les situations demandant l'arret des machines et en reduire le 
nombre ; 

• etudier la faisabilite des mecanismes de bascule (d’une machine vers une 
autre ou plusieurs autres) ; 

• privilegier les machines qui detectent bien et tot les defaillances et qui emet- 
tent des alertes ; 

• etudier les capacites de retour a la normale ; 

• etudier la connexion au reseau et son transfert en cas de defaillance ; 

• etudier la connexion au stockage et son transfert en cas de defaillance ; 

• analyser les mecanismes d'automatisation et de script (programme de 
commandes) ; 

• faire la liste des pieces qu'il faut conserver sur le site pour une reparabilite 
optimale. 



Figure 8-2 : Bascule d'un serveursur un autre 
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En general, l'entreprise choisit un ou deux fournisseurs et conserve la meme 
solution a long terme. La maintenance est souvent negociee a part. Cette solu- 
tion doit etre connue afin que les differentes parties prenantes puissent en tirer 
le meilleur profit en termes de disponibilite. 

Enfin, il faut garder a l'esprit que le cluster peut se construire sur un ou deux 
sites, a priori assez proches. 

Virtualisation 

La virtualisation est un ensemble d'outils logiciels et de middleware qui permet- 
tent de : 

• decouper un serveur physique donne en plusieurs « serveurs logiques » ou 
« machines virtuelles » a geometrie variable ; 

• masquer aux serveurs logiques la realite du materiel existant reellement. 

La virtualisation s'accompagne d’outils de gestion qui permettent de travailler 
sur les machines virtuelles. Le travail de 1’exploitant est alors modifie : au lieu 
de gerer uniquement des machines reelles avec leurs caracteristiques techni- 
ques propres, il gere d’un cote des machines virtuelles (abstraites) et de l'autre 
les machines reelles (ou physiques en general moins nombreuses) sur lesquel- 
les tournent les machines virtuelles. Par ailleurs, il existe un certain niveau 
d’interchangeabilite entre les machines reelles : une machine virtuelle peut, 
dans certaines limites, fonctionner sur differentes machines physiques. 

Du point de vue de la continuite d'activite, la virtualisation presente des avanta- 
ges mais aussi des inconvenients. 

Avantages de la virtualisation 

Une machine virtualisee est constitute de fichiers. Elle est done telechargeable 
ou peut etre envoyee par simple transfert de fichier. Cela simplifie les scenarios 
de reprise distante : une machine virtuelle tournant sur une machine reelle 
defaillante sera « photographiee » et les fichiers la decrivant envoyes sur le site 
distant, oh cette machine virtuelle pourra etre « regeneree » sur une machine 
reelle en btat de marche. Ces actions pouvant s'automatiser, il devient alors pos- 
sible de « cloner » les machines virtuelles. 

On voit done l'interet de cette technologie pour les scenarios de reprise. 

• 11 est possible assez facilement de tenir pretes des machines reelles a dis- 
tance pour recevoir les machines virtuelles. 

• Le transfert et la regeneration d'une machine virtuelle sur un autre site sont 
rendus beaucoup plus faciles. 

• Bien des taches peuvent s'automatiser, en portant sur plusieurs machines ou 
plusieurs sites h la fois. 

• La machine virtuelle herite de la fiabilite de la machine reelle sur laquelle elle 
fonctionne, pour le meilleur et pour le pire. 
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Ainsi, la generalisation des outils de virtualisation revolutionne le travail de 
reprise et d'administration des machines. 

Remarque 

Les aspects de connexion au reseau et de stockage, qui sont a la limite du perimetre vir- 
tualise, ne doivent pas etre oublies dans les schemas de continuity d'activite. 

Inconvenients de la virtualisation 

Cependant, 1'usage de la virtualisation dans le cadre d'un plan de continuity 
comporte egalement un certain nombre d'inconvenients. 

• Elle represente un outil de plus sur les machines, et done une cause de panne 
supplementaire. 

• Les machines virtuelles gerees a la place des machines physiques ne peuvent 
pas fonctionner sur un serveur classique : elles necessitent un serveur equipe 
au moins d’une couche de virtualisation adaptee, ce qui limite les scenarios. 

• Le materiel utilisable en cas de reprise doit avoir prevu la virtualisation, ce 
qui represente un effort et un cotit supplementaire. 

• Le materiel que Ton peut utiliser pour la reprise doit avoir ete prevu par la vir- 
tualisation, qui doit tenir compte de ses caracteristiques : cela limite les cas 
possibles ; la situation est pire sans virtualisation toutefois. 

• Les outils restent compartimentes selon les differentes technologies : les 
outils pour materiels Unix IBM ne sont pas du tout les memes que pour ceux 
d'HP et trbs differents de ceux des materiels k processeur Intel fonctionnant 
avec Windows. 

• II faut gerer a la fois des configurations reelles et virtuelles. 

Malgre tout, dans l’ensemble, les specialistes s'accordent a dire que 1'usage de 
la virtualisation en environnement Intel/Windows est plutot benefique dans le 
cadre d’un plan de reprise. 

Le stockage 


Le stockage represente le deuxieme pilier de l’informatique, car c’est la que resi- 
dent les donnees. Les fournisseurs de stockage ont developpe des offres de plus 
en plus independantes des serveurs, proposant des fonctions tres interessantes 
pour sauvegarder les donnees, les repliquer a distance et les restaurer sur des 
systemes de secours. 

Toutes ces fonctions sont a regarder de pres pour elaborer une strategic de con- 
tinuity. En effet, la multitude de combinaisons possibles entre les serveurs, les 
outils logiciels, les fonctions propres au stockage et les agencements de sites 
rend les choix difficiles. 


<Q> 
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Fonctions des controleurs 

Le controleur est en quelque sorte le chef d'orchestre du stockage : il prend la 
responsabilite des donnees, les conserve et les protege ; il sait oh les retrouver, 
repond aux demandes d’acces des serveurs, demande des traitements specifi- 
ques, transfere des donnees d'un support a un autre (d’un disque vers une 
bande, par exemple), etc. Applique au controleur, le mot « donnee » est 
d'ailleurs abusif. En general, celui-ci ne voit en effet que des ensembles de bits 
ou blocs dont il a la charge. Il n'a pas notion du fait que ces blocs constituent 
une donnee ou appartiennent a un meme fichier, cette connaissance etant reser- 
vee au domaine du serveur. 

En se concentrant sur les enjeux de continuite, il est important d'etudier les 
points suivants. 

• Nature du controleur : est-ce un serveur simple, sans redondance (plutot 
rare), ou une grappe de serveurs (plus usuel) ? Encore mieux : est-ce un mate- 
riel specifiquement etudie pour la fiabilite ? 

• Le controleur separe-t-il les traitements d'avant-plan (vers les serveurs) et 
d’arriere-plan (vers les disques) sur des processeurs separes ? 

• La maniere dont le controleur est connecte aux serveurs permet-elle la redon- 
dance ou l’equilibrage sur plusieurs voies ? Passe-t-elle par un reseau specia- 
lement dedie au stockage ?(Voir la section sur les SAN en fin de chapitre). 

• La maniere dont le controleur est connecte aux disques ou memoires diver- 
ses est-elle suffisamment fiable ? 

• La maniere dont le controleur repartit les blocs ecrits sur plusieurs disques 
avec bit de parite, la gestion des groupes RAID qui utilise plusieurs lots de 
disques en parallele et assure des niveaux de fiabilite differents qu'il faut con- 
naftre. 

• Qualite du cache interne : est-il volatile ? Conserve-t-il ses donnees en cas de 
coupure de courant ? 

• Le controleur permet-il le routage d’ entree/sortie ? Cette fonction consiste a 
router les ecritures vers un autre controleur distant et a en garantir la bonne 
execution locale et distante, synchronisee ou non. 

• Le controleur permet-il de realiser des cliches ( snapshots ) ? Cette fonction con- 
siste cette fois a garder une image figee des donnees pendant un certain 
temps. Tant que les donnees sont figees, les modifications qui les concernent 
sont alors consignees ailleurs sans inconvenient. 

• Le controleur peut-il gerer des coherences entre donnees ou blocs ? (c'est-a- 
dire modifier tous les blocs d’un meme groupe ensemble ou n'en modifier 
aucun). 

Toutes ces fonctions presentent un grand interet dans les differents schemas de 
continuite d'activite, comme l'illustrent les trois exemples suivants. 
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Snapshot ou cliche 

Le snapshot permet de figer une image des donnees et de les sauvegarder sur bande 
(cela peut prendre cinq heures et plus) pendant que la production continue sans interrup- 
tion. Sans cette fonction, il faut interrompre les ecritures dans les fichiers a sauvegarder, 
et done interrompre une partie de I'activite. 

Routage d'entree/sortie 

Le routage d'E/S permet, sous certaines conditions, de conserver sur un site distant une 
copie exacte du stockage principal. En cas de plan de reprise sur ce site distant, les don- 
nees y sont identiques. 

RAID 

Le RAID ( Rapid Array of Independent Disks ou baie de disques independants) permet, 
avec des disques simples, d'obtenir une bonne fiabilite : en cas de defaillance d'un dis- 
que, les donnees sont reconstituables a partir des autres disques. 

Toutes ces fonctions ne sont pas presentes de la meme maniere dans les mate- 
riels disponibles sur le marche. Des substitutions sont possibles, certaines fonc- 
tions pouvant etre absentes du stockage si elles sont contenues dans le 
middleware, par exemple. 


SAN dans le centre 


-CZb 


controleur 1 


controleur 2 


controleur 3 


* synchronisations ponctuelles 

Figure 8-3 : Controleurs echangeant sur un SAN local et avec un site distant 


Remarque 

Notons enfin que, dans certains cas particuliers, les fonctions de controleur resident dans 
un serveur au sein d'une grappe, voire dans une partition virtualisee sur un serveur. Mais 
cela ne change pas radicalement ce qui est dit plus haut. 
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Fonctions du middleware 

« Middleware » est un terme generique pour designer le logiciel qui se situe au- 
dessus du systeme d' exploitation mais en dessous des applications. Il joue un 
role important dans la gestion de la conservation des donnees et il taut done 
s'en preoccuper dans une approche de continuite des traitements. 

Systemes de fichiers 

Le systeme de fichiers {file system ) permet tout simplement de gerer les fichiers, 
ce qui est une forme de conservation des donnees. On y trouve plusieurs fonc- 
tions utiles pour la continuite d’activite, parmi lesquelles : 

• la capacite h reconstituer des fichiers endommages ; 

• la protection des acces en ecriture et en lecture ; 

• le support des grappes ( clustered file system ) qui permet a des serveurs differents 
d’acceder concurremment et en meme temps aux donnees tout en garantis- 
sant leur integrity. 

Cependant, l'importance des systemes de fichiers pour la continuite s'amoindrit 
de plus en plus. En effet, pour disposer de fonctions avancees, on leur prefere 
les SGBD ou les systemes NAS, qui sont des serveurs dedies au systeme de 
fichiers. 

Moniteurs transactionnels 

Les moniteurs transactionnels sont des middlewares qui assurent la bonne exe- 
cution des transactions, e’est-a-dire des modifications coordonnees des don- 
nees. 

Parmi les fonctions utiles qu'ils presentent en termes de continuite, on citera 
essentiellement : 

• la capacite a reconstituer un etat correct des donnees en annulant une tran- 
saction qui s’ est mal deroulee ; 

• la possibility de router une transaction (transaction routing ) vers un autre sys- 
teme pour qu'elle s’y execute, ce qui permet d’avoir des donnees identiques 
sur deux sites differents, par exemple. 

Les moniteurs transactionnels sont eux aussi en perte de vitesse, car supplantes 
par les SGBD qui possedent, entre autres, les memes avantages. 

SGBD 

Les SGBD ou systemes de gestion de bases de donnees prennent une place pre- 
ponderate dans la continuite d’activite. Ils concentrent en effet des fonctions 
indispensables : 

• la capacite a reconstruire un etat « propre » des donnees apres un incident 
(materiel ou non), en annulant les modifications qui ont echoue (rollback ou 
retour en arriere) ; 
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• la possibility de realiser des mises a jour de donnees sur plusieurs bases 
reparties potentiellement en des lieux differents, avec un engagement sur le 
resultat ( commit ou validation) quoi qu'il arrive ; 

• la faculte de figer un etat coherent des donnees et de noter a part, dans un 
journal, la totality des modifications qui y sont apportees par la suite sur une 
periode donnee ; 

• la possibility de reconstituer des donnees correctes en partant d’un etat ante- 
rieur correct et en lui appliquant les modifications contenues dans un journal 
(forward recovery ou restauration par progression) ; 

• de maniere generale, la possibility de proceder a des interventions intelligen- 
tes sur les donnees, les SGBD en permettant la comprehension ; il est ainsi 
possible a un administrateur de « nettoyer » des tables en annulant certaines 
transactions et pas d'autres - a pratiquer avec moderation toutefois. 

De maniere a obtenir une protection optimale en cas de sinistre, on etablit en 
general une base primaire « active » sur un site et une base de secours « en 
sommeil » sur un autre site. La base en sommeil peut se contenter d'une copie 
ponctuelle des donnees tout en recevant le journal des mises a jour. En cas de 
besoin, il faudra, pour la « reveiller », appliquer les journaux afin de reconstituer 
les donnees, ce qui peut prendre un certain temps. On se trouve alors dans la 
categorie du « secours tibde » (moyens prepares mais pas prets a l'usage : voir le 
chapitre 3). 

En revanche, la base de secours peut etre totalement a jour en permanence si 
elle applique les modifications de la base primaire au fur et a mesure. Cela peut 
se faire soit de maniere synchronisee avec la base primaire, soit de manibre 
asynchrone. L'interet majeur est que ce qui est valide (ou « commite ») sur un 
site, Test egalement sur l’autre. 

Enfin, dans les approches les plus avancees, il n'est plus fait de distinction entre 
base primaire et base secondaire : plus exactement, les activites sont reparties 
entre les deux bases, chacune etant « primaire » pour elle-meme et 
« secondaire » pour l'autre. 

Il existe aussi des mises en oeuvre interessantes dans lesquelles la base secon- 
daire est utilisee par des applications qui ne travaillent qu'en lecture. Cela per- 
met ainsi de soulager la base primaire et de rentabiliser les investissements 
pour le secours en cas de sinistre. S'il est besoin de basculer sur la base de 
secours, les applications en lecture sont alors arretees et les applications de 
production demarrees. 

Par precaution, il faut, evidemment, ne pas stocker le journal et les copies de la 
base de donnees au meme endroit que la base active. En effet, en cas de perte 
du systeme de stockage, on perdrait par la meme occasion la capacity a recons- 
truire les donnees. 
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Figure 8-4: : Deux SCBD echangeant a distance 


Caches internes et risques associes 

Le cache est une zone de memoire provisoire oh 1'on place des donnees en tran- 
sit. Un programme met des donnees en cache, par exemple, avant qu'elles ne 
soient envoyees a un controleur de stockage. Le controleur lui-meme peut 
ensuite mettre ces donnees en cache avant qu'elles ne soient ecrites sur dis- 
ques, lieu de leur stockage final et securise. Ce mecanisme permet d’obtenir des 
gains en performance considerables. 

La fiabilite de ces zones de cache est souvent sujette a caution. En effet, elles ne 
sont generalement pas protegees en cas de panne d'electricite par exemple, 
alors qu'un disque, lui, conserve bien evidemment son contenu. L'apparition 
des caches non-volatiles represente ici une avancee positive. 

Concernant la continuite d'activite, les caches posent probleme car, bien que 
parfois tres important pour la recuperation des donnees, leur contenu est tres 
souvent perdu en cas de sinistre. De plus, les systemes de routage ou de propa- 
gation des entrees/sorties (voir page 178) ne repercutent sur le site distant que 
les ecritures sur disque. Or, les ecritures de donnees modifiees en cache n'ont 
pas encore fait l'objet d'une demande d'ecriture sur disque et sont ainsi igno- 
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rees du controleur. L'application considere alors que la donnee est modifiee, 
alors qu’elle ne Test pas, ni sur le stockage primaire, ni sur le secondaire. Cette 
incoherence portant sur des donnees potentiellement importantes pour l'entre- 
prise cree une situation tres difficile a gerer en cas de reprise. 

Un controle se revele done necessaire sur tout cela. 11 existe des produits qui, 
lorsqu'une donnee modifiee est ecrite en cache, forcent immediatement 1’ecri- 
ture sur disque. Les grands systemes (mainframe IBM), et souvent les SGBD, 
gerent cela ainsi de maniere tres precise. En cas de doute, il faut verifier que les 
produits ou outils complementaires adequats sont en place et bien actifs. 

Protection continue des donnees (CDP) 

La CDP ( Continuous Data Protection) ou protection continue des donnees est une 
technique assez recente qui consiste a surveiller un systeme en capturant toutes 
les modifications de donnees y ayant lieu. Ces modifications, une fois capturees, 
sont conservees en lieu sur, generalement sur un serveur dedie a cette fonction 
de CDP. La fiabilite de ce serveur de CDP doit done etre consideree avec la plus 
grande attention. 

Le systeme ainsi surveille est accompagne d’agents de surveillance propres au 
produit assurant la CDP, dont il faut egalement etudier la fiabilite. Vus du sys- 
teme surveille, ils sont en effet consideres comme des « corps etrangers » prove- 
nant d'un autre fournisseur. 

Proposant des pistes d’amelioration interessantes en matiere de continuity, 
cette technologie est toutefois recente et doit encore faire ses preuves. 

Stockage en reseau NAS 

Le stockage en reseau NAS (network-attached storage ) est un serveur de fichiers 
attache au reseau IP (protocole Internet). Les serveurs duplications s’adres- 
sent a lui pour acceder a des fichiers partages en mode lecture ou ecriture. Le 
NAS met ainsi en oeuvre un ou plusieurs systemes de fichiers. 

Concernant la continuity d'activite, les avantages du NAS sont herites a la fois 
de sa nature de controleur et de celle de serveur. Les caracteristiques mention- 
nees precedemment au sujet des serveurs, controleurs et systemes de fichiers 
restent done valables pour ce type de stockage. Parmi elles : 

• l'agencement interne du NAS , qui peut etre a base de tolerance aux pannes 
ou de redondance en grappe 1 + 1 ; 

• la capacity a reconstruire des fichiers endommages ; 

• la possibility de tiger des cliches (snapshots : voir page 179) sur des fichiers 
entiers et a intervalles rapproches ; 

• la possibility de revenir en arriere sur un cliche anterieur, fichier par fichier ; 

• la capacity a sauvegarder directement a partir du NAS sur des systemes a 
bandes, par exemple, sans passer par les serveurs ; 
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• la capacity a router sur un site voisin ou distant les modifications apportees 
aux fichiers, tout en restant sur le reseau IP habituel ; 

• la possibility de deplacer des groupes de fichiers entiers d’un NAS a un autre, 
qu'ils soient proches ou distants. 

La simplicity d'utilisation des NAS dans les environnements utilisant de nom- 
breux fichiers, surtout s’ils sont partages, leur a donne une place preponderate 
dans les entreprises et dans les plans de reprise. 

Sauvegarde et restauration 

On presente souvent la sauvegarde sur bande comme etant l’unique precaution 
a prendre pour se premunir d'une perte de donnees catastrophique. Assez sou- 
vent, les questionnaires d'audit se focalisent done sur la sauvegarde, selon une 
vision remontant aux annees 1980. 

La sauvegarde est-elle encore utile ? 

Les descriptions qui precedent montrent que bien d'autres technologies sont 
disponibles pour eviter les pertes de donnees et faciliter leur reconstruction. 
Cela ne veut pas dire - loin de la - que la sauvegarde ne sert a rien : il reste des 
situations oil elle est necessaire, meme si celles-ci deviennent, avec l’expansion 
des nouvelles technologies, de plus en plus rares. 

Plus la pratique des technologies comme le snapshot ou la copie miroir locale et 
distante effectuee par des systemes de stockage, des NAS ou des SGBD se 
repand, plus la necessity technique d’une sauvegarde sur bande diminue. Cinq 
raisons maintiennent toutefois son usage : 

• Les technologies citees ne sont pas employees partout, car tous les systemes 
en place ne le permettent pas. 

• Le coClt des investissements necessaries dans ces nouvelles technologies est 
eleve, la formation des exploitants coQteuse et longue. La sauvegarde 
demeure une solution bon marche, simple et assez efficace, qui a tout du 
moins le merite d'exister. 

• Quand toutes les autres solutions ont echoue, recourir au stockage de bandes 
a l'abri des desastres reste la solution ultime. 

• La reglementation l’exige dans un certain nombre de cas. 

• La proximite technologique avec l'archivage (qui n'est pas une sauvegarde) 
fait que certains utilisateurs conservent des archives a partir des sauvegardes 
sur bandes. 

Dans la realite, on constate que la sauvegarde sur bande combinee aux autres 
techniques mentionnees precedemment permet d'arriver a des solutions de 
compromis d’efficacite et de coOt interessantes. 

La problematique specifique de la sauvegarde des donnees sur PC, en particu- 
lier sur les ordinateurs portables, sera vue dans le chapitre 9. 
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Objectif: restaurer les donnees 

II ne faut surtout pas perdre de vue Pobjectif auquel tous ces moyens techniques 
doivent parvenir : restaurer les donnees qui ont ete perdues. La sauvegarde n'a 
en effet aucun interet si les donnees ne peuvent etre restaurees ou si la restau- 
ration ne fournit pas de donnees correctes. 

Les grandes entreprises ne possedent generalement pas un seul systeme de 
sauvegarde et restauration, mais plusieurs. On distingue trois categories de sau- 
vegardes, souvent dictees par les outils eux-memes. 

• Les sauvegardes completes : tout est sauvegarde en totality. La restauration 
est ainsi aisee, car il n’y a aucune question a se poser. En revanche, la sauve- 
garde est longue et si les donnees ont peu evolue, a quantite de cassettes ou 
autre media s'accroTt inutilement, car contenant de nombreuses donnees 
identiques d'une fois sur Pautre. 

• Les sauvegardes incrementielles : ne sont sauvegardees que les donnees 
qui ont change par rapport a la sauvegarde precedente, la premiere sauve- 
garde etant complete. Cette methode est rapide et peu consommatrice 
d'espace sur les bandes. Cependant, lors de la restauration des donnees, elle 
implique souvent de rechercher toute une serie de bandes de sauvegardes 
diverses. A l’inverse de la precedente, cette methode est done efficace en sau- 
vegarde mais difficile en restauration. 

• Les sauvegardes differentielles : apres une premiere sauvegarde complete, 
cette methode ne sauvegarde que les donnees ayant ete modifiees depuis la 
derniere sauvegarde complete. La restauration necessite alors d'avoir seule- 
ment la derniere sauvegarde complete et la derniere sauvegarde differen- 
tielle. Envisagee en general fichier par fichier, cette methode est un bon 
compromis : plus longue en sauvegarde que la sauvegarde incrementielle, 
mais plus rapide en restauration. 

Cerer les cassettes et autres supports 

Les cassettes de sauvegarde ou autre media (disques optiques, DVD, etc.) 
necessitent une gestion particulierement soigneuse dans le cadre du plan de 
continuite. Les aspects suivants doivent etre absolument pris en compte : 

• Les cassettes doivent etre entreposees dans un lieu sur, a l'abri des risques 
qui pesent sur les systemes dont elles sont les sauvegardes. 

• Les employes qui viendront recuperer les cassettes en cas de sinistre doivent 
pouvoir les trouver et les identifier facilement. 

• Si certaines cassettes sont constitutes en lots a manipuler ensemble, ceux-ci 
doivent etre evidents (regroupes dans une mallette, par exemple). 

• A l'inverse, il peut arriver que certaines cassettes ne doivent pas se trouver 
ensemble (sauvegardes de clients differents, par exemple, qui ne doivent 
absolument pas etre melangees) : cela doit etre clairement identifiable. 
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• Dans les cas oil des contraintes s'appliquent sur les lots de cassettes (confi- 
dentialite, urgence, destination particuliere, etc.), celles-ci doivent etre indi- 
quees et faciles a comprendre par les personnes chargees de les recuperer. 

• II peut etre interessant d'indiquer une priorite de traitement ou de prise en 
compte, lorsque les lots de cassettes ne peuvent etre demenages en une 
seule fois. Celle-ci est basee alors sur les delais de restauration (par 
exemple : immediat, moins de 4 heures, meme jour, moins de 24 heures, de 
24 a 72 heures, plus de 72 heures). 

• Le moyen de transport peut etre eventuellement indique sur les lots. 

• II est indispensable de tester regulierement la lisibilite des cassettes et de 
copier a neuf celles qui vieillissent mal, avant qu’elles ne deviennent illisi- 
bles. 

• Les cassettes devenues inutiles doivent etre eliminees (ou recyclees). 

• Les consignes des fabricants pour le stockage doivent etre respectees absolu- 
ment. 

Un systeme de gestion informatique des sauvegardes peut etre utile pour admi- 
nistrer tout cela. 

Exemple : un oubli facheux 

La societe de service informatique SLBanque gere I’informatique de la Banque du Musee, 
en banlieue parisienne. Les systemes de production (ordinateurs, stockage) sont situes 
dans un centre informatique proche du peripherique. Des sauvegardes sont effectuees 
regulierement et, tous les lundis, des convoyeurs viennent prendre livraison de mallettes 
de cartouches a destination d'un centre d'entreposage en province proche. 

Un lundi, des travaux importants ont lieu au centre, necessitant de desactiver en partie 
I'ouverture automatique des portes. Les convoyeurs effectuent malgre tout leurtransfert 
habituel, et une fois partis, des livreurs arrivent avec du materiel d'un tout autre ordre. 
Apres 45 minutes, la livraison est finie et Ton ferme enfin les portes a la main. C’est la 
qu’on aperqoit une mallette de cassettes oubliee, restee la pour caler une porte I 
II n'a pas ete possible de retrouver ou d'appeler les convoyeurs. Fort heureusement, le 
nom du client etait indique sur la mallette et celui-ci, une fois averti, a prevenu qui de 
droit. 

Et pourtant... le client aurait-il constate seul qu'il lui manquait une mallette? Cette 
mesaventure a conduit par la suite la societe SLBanque et ses clients a revoir leurs proce- 
dures de sortie des cassettes de sauvegarde. 

Robots de sauvegarde 

Les robots de sauvegarde sont des materiels peripheriques qui servent a sauve- 
garder et restaurer les donnees sur un support en general amovible (cassette, 
cartouche...). Ils sont la plupart du temps partages par differents environne- 
ments techniques et utilises par de nombreux serveurs ou NAS. Leur constitu- 
tion mecanique, comportant un grand nombre de pieces en mouvement, les 
rend fragiles et leur fiabilite depend avant tout d'une bonne maintenance. 
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Le materiel avec lequel la sauvegarde est effectuee peut etre different de celui 
avec lequel la restauration sera realisee : il suffit de ne pas se trouver sur le 
meme site. Des precautions de compatibilite sont necessaires, sous peine de ne 
pouvoir restaurer correctement. 

Il existe des systemes qui virtualisent les bandes et les derouleurs de bandes : 
les VTS (virtual tape servers ou serveurs a bande virtuelle). Nombre d'operations 
d’ecriture et de lecture se font alors sur disques au lieu de se faire sur du mate- 
riel reel a bande. Toutefois, la securite des operations de sauvegarde est garan- 
tie par la realisation finale de cassettes de sauvegarde appropriees. Ces 
systemes permettent ainsi d'eviter les creations inutiles de cassettes. 

Tous ces systemes proposent souvent d’autres fonctions en option, dont il faut 
tenir compte dans le cadre d'un plan de continuity En effet, il faut etre stir de 
pouvoir restaurer : 

• la compression des donnees - il faut pouvoir decompresser lors de la 
restauration ; 

• le chiffrement - de la meme maniere, il faut pouvoir dechiffrer et avoir les 
droits techniques et administrates pour le faire ; 

• la deduplication (elimination de doublons pour gagner de l'espace), qui pose 
le meme type de contraintes. 

La capacite a effectuer une restauration correcte sur un systeme potentiellement 
different du systeme de sauvegarde est fondamentale. Sans cela, en effet, toute 
sauvegarde est inutile. Parmi les points a considered on compte : 

• la compatibilite des formats en tous genres (cassette, derouleur, chargeur, 
codage, etc.) ; 

• la compatibilite des logiciels, qui est une exigence tres forte - dans presque 
tous les cas, on aura besoin pour la restauration du meme logiciel que celui 
qui a servi pour la sauvegarde ; 

• une bonne gestion des droits associes - l'administrateur qui charge une sau- 
vegarde doit disposer des droits necessaires, l'outil doit l'autoriser a operer ; 

• les performances - la restauration ne devant pas durer dix heures si Ton dis- 
pose d’un temps limite a quatre heures, les debits doivent etre calcules 
correctement ; 

• l'etat des materiels de restauration, qui doit etre verifie et teste, avec des con- 
trats de maintenance convenables ; 

• l'existence et l’actualite des licences d'utilisation. 

Tous ces aspects sont importants, surtout dans les cas oh le logiciel et les 
moyens de restauration utilises sur un site de secours ne sont pas ceux que ce 
site emploie pour son usage propre. 
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Les reseaux du centre inFormatique 


Le centre informatique dispose de plusieurs types de reseaux : 

• le reseau assurant la connexion des terminaux et postes de travail aux 
serveurs ; le protocole IP y est omnipresent ; 

• le reseau supportant les echanges des serveurs entre eux, avec plusieurs 
vitesses et debits possibles : si des protocoles de grappe existent encore, IP a 
haute vitesse se generalise et on assiste a l'emergence de technologies nou- 
velles comme Infiniband ; 

• le reseau de stockage SAN (Storage Area Network), qui connecte le stockage en 
groupes aux divers serveurs. 

Pour optimiser les debits, reduire les risques et isoler les perturbations, ces dif- 
ferents reseaux peuvent etre cloisonnes et recourir a des protocoles divers. Ils 
peuvent aussi, pour des raisons d'efficacite, partager des arteres rapides. Les 
cablages sont de natures differentes, meme si la fibre optique se generalise. 

En general, on fait encore la distinction entre SAN et reseau traditionnel. 

Reseau de stockage SAN 

Le SAN (Storage Area Network) est un reseau qui assure la connexion entre des 
controleurs de stockage, des unites de disques diverses et des serveurs. On le 
trouve principalement en salle informatique, dont il ne sort que pour assurer 
une liaison avec un site secondaire tres proche. 

La principale technologie reseau du SAN est la technologie d’ interconnexion 
appelee Fibre Channel (FC), qui opere principalement - mais pas seulement - sur 
fibre optique a courtes distances. La liaison avec le troisieme site distant, s'il 
existe, necessitera une autre technologie et un couplage avec des routeurs spe- 
ciaux. De nouvelles techniques normalisees apparaissent, tel le protocole iSCSI 
(Internet Small Computer System Interface), appele aussi SCSI sur IP, qui consiste a 
transmettre les instructions et donnees dans des paquets IP. Elies rapprochent 
le SAN des techniques de reseau traditionnel. 

Comme tout reseau, le SAN utilise des routeurs et des commutateurs plus ou 
moins puissants et evolues. 

En ce qui concerne le SAN, la fiabilite et la disponibilite meritent la plus grande 
attention : un SAN en panne, meme partiellement, peut paralyser une salle 
informatique entiere, dans le cas ou les serveurs principaux ne peuvent plus 
acceder a leur stockage. 

Reseau traditionnel 

Concernant le reseau traditionnel, l’analyse et les mesures a prendre ressem- 
blent beaucoup a celles ayant trait aux serveurs. On y retrouve en effet les 
memes orientations et architectures : 
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• la segmentation ou repartition sur des elements en grappes de type n+ 1 , avec 
de petites machines simples dediees a une tache particuliere (pare-feu, anti- 
virus, detecteurs divers, etc.) ; 

• la consolidation (monolithique) sur des equipements tres puissants, uniques 
et done a tolerance de panne ; 

• la virtualisation, qui permet a une meme machine d'abriter des fonctions 
multiples ; 

• la redondance qui, associee a une virtualisation simple, permet d'abriter deux 
machines virtuelles dans une meme machine physique et d'en arreter une 
sans interrompre l’autre. 

Les evolutions du reseau sont par ailleurs dictees par les evolutions des 
serveurs : si l’on consolide dix serveurs pour n'en faire qu'un seul, le reseau qui 
les reliait change de nature de meme que sa vulnerability aux pannes. Les deux 
approches doivent etre associees pour obtenir une configuration a haute dispo- 
nibilite. 

Performance et fiabilite des reseaux 

Quel que soit le type de reseau, il est indispensable de porter un regard attentif 
et critique sur les points suivants : 

• la possibility pour des materiels de constructeurs differents de travailler 
ensemble ; en effet, le respect des protocoles n'est souvent pas suffisant et il 
taut egalement etudier les comportements de materiel en presence d' anoma- 
lies ou de pannes partielles - ce comportement doit etre coherent d’une 
machine a i’autre ; 

• la tolerance aux pannes des elements centraux qui constituent des points 
uniques de defaillance, tels que les commutateurs directeurs ; 

• la possibility ou non de diversifier les chemins d'acces entre l'origine et la 
destination, afin de se premunir d'une panne sur un chemin ; 

• la souplesse de passage d'un chemin a un autre en cas de panne du premier : 
est-ce automatique ou manuel ? Peut-on utiliser deux voies en parallele ou 
de maniere alternee ? 

• le comportement des materiels en cas de redemarrage suite a divers types 
d'interruption, qui doit etre coherent et retablir un etat du reseau acceptable ; 

• la conservation des changements de parametres dynamiques, afin d’eviter, en 
cas de redemarrage, de faire une restauration sur un etat anterieur incorrect. 

Construire un reseau performant, e'est aussi construire un reseau liable. L& 
encore, les pannes de mode commun ne doivent pas etre negligees dans reva- 
luation de la fiabilite (voir le chapitre 7). 
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Infrastructure 
et poste de travail 
de I’employe 

Tout ce qui a trait a l'environnement de travail de l'employe - telephonie, poste 
de travail en reseau, bureau - ne doit pas non plus etre neglige. Ces elements, 
utilisant des technologies de plus en plus avancees, sont en effet des points vul- 
nerables mais indispensables a la continuity de l'entreprise. 

Ceci inclut dans une certaine mesure les problematiques liees aux ressources 
humaines, bien que ce sujet soit a la limite du perimetre de cet ouvrage. 


Les reseaux 


L’analyse de la disponibilite du reseau se revele toujours compliquee, parce 
qu'un reseau n'est pas un « objet technique » comme les autres. En effet, ce 
n'est pas parce que les routeurs ou commutateurs fonctionnent que le reseau 
est disponible. Le bon fonctionnement d’un reseau implique en general deux 
acteurs - chacun a une extremite - avec la plupart du temps un operateur entre 
les deux. C’est un jeu a trois. Quant aux cas ou le reseau fonctionne mal, il n’est 
pas toujours aise d'en determiner les causes. La vision de son etat de fonction- 
nement peut d’ailleurs etre differente selon l'endroit d'oil on 1’observe. 

Par ailleurs, lorsque seul le reseau ne fonctionne pas dans une entreprise, les 
techniciens les plus avances se retrouvent desempares : aucune machine a repa- 
rer. Tout au plus peut-on essayer de basculer vers un autre reseau ou un autre 
operateur en esperant que celui-ci ne sera pas victime de la meme avarie. 

Reseau telephonique 

En depit de la montee en puissance des nouvelles technologies, le telephone 
joue encore un role primordial dans la vie de l’entreprise, comme Tillustre 
1'exemple suivant. 

I Exemple : I'acheteur et le telephone 

M. Achat est acheteur chez un fabricant qui depend fortement de ses fournisseurs en ter- 
mes de delais. Un soir, de retour a son domicile, il voit au journal televise regional qu'un 


<Q> 
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incendie s'est declare chez son principal fournisseur. La television montre des flammes et 
le commentaire est imprecis. Souhaitant avoir plus d'information, M. Achat essaie d'appe- 
ler le site sinistre : impossible. Le site est trap eloigne pour qu’il s'y rende en voiture. 

Le lendemain matin, il cherche a joindre son commercial attitre chez le fournisseur - en 
vain. Par precaution, il passe commande chez un autre fournisseur, pratiquant des prix 
tres eleves, sacrifiant ainsi a la securite. 

Trois jours apres, M. Achat apprend que le sinistre ne concernait ni I'usine ni les stocks de 
son fournisseur, mais uniquement des bureaux et la salle de I'autocommutateur. 
Moralite : 

- il peut etre utile de disposer du numero de portable de son commercial ; 

- en cas d'incendie, il faut essayer dans la mesure du possible de transmettre a la televi- 
sion des informations precises, en esperant qu'elles passeront a I'antenne... ; 

- la societe sinistree doit prevoir un accueil telephonique de ses clients, dans des cas sem- 
blables de sinistre : son operateur doit avoir des solutions. 

Les reseaux telephoniques n’ont pas ete congus en prevision que tout le monde 
appelle tout le monde au meme moment (plus exactement, qu’une moitie des 
abonnes appelle l'autre moitie). Ils sont dimensionnes pour permettre le trafic 
de quelques pourcents d'une zone donnee (on cite souvent le chiffre de 10 % en 
Amerique du Nord). Cela est valable aussi bien pour la telephonie fixe que pour 
la telephonie mobile. Ainsi, en cas de sinistre regional, ou simplement d'inci- 
dent ou evenement attirant la curiosite generate, il est impossible de compter 
sur un acheminement sur des appels. 

Vu de l'utilisateur en entreprise, le reseau telephonique peut etre decompose en 
trois parties, dont chacune merite 1'attention : 

• les cheminements internes a l'entreprise, courant dans des goulottes, avec 
des connexions situees dans des repartiteurs ou armoires qu'il faut verifier ; 

• le cheminement hors de l’entreprise, dirige vers les moyens techniques de 
l’operateur (central telephonique) en passant par la voie publique et ses 
aleas ; 

• I’autocommutateur de l’entreprise, qui est une machine s’apparentant desor- 
mais a un ordinateur, avec sa redondance interne, sa maintenance, ses mises 
a niveaux et ses techniciens. 

Cablage interne 

Concernant le cablage interne et les armoires de repartition, il faut s'assurer 
que : 

• les cabinets de passage des cables sont fermes a cle ; 

• les repartiteurs et sous-repartiteurs sont equipes en systemes anti-incendie 
(extincteurs automatiques a eau ou sprinklers) ; 

• rien d’autre n’est stocke sur place (si ce n’est de la mort au rats. . . mais pas les 
guirlandes de Noel I) ; 

• les cles sont en possession des personnes habilitees et d’elles seules ; 
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• l'eclairage est suffisant dans les cabinets ; 

• la separation avec le reseau informatique, qui utilise souvent les memes ins- 
tallations, est faite correctement - en effet, ce dernier peut degager de la cha- 
leur car il est actif ; 

• l'acces aux goulottes y est suffisamment restreint. 

Le cheminement du cablage doit etre connu et documents, les entrees dans les 
locaux et « tetes telecom » (points d'arrivee des fils) localisees sur un plan du 
batiment. 

Cables exterieurs 

Les cables externes ne dependent pour l’essentiel pas de la societe, mais de 
l'operateur telecom. C'est souvent le point faible de la chaine qui relie l'autocom 
de 1'entreprise au central de l’operateur ou a divers POP (points de presence). Il 
faut done surveiller certains aspects, meme s’ils ne sont generalement pas du 
ressort de 1'entreprise : 

• les tempetes, la glace ou la neige peuvent endommager les lignes aeriennes : 
une inspection sur place permet au moins de comprendre le risque ; 

• les accidents de vehicules contre des poteaux telephoniques peuvent eux 
aussi affecter les lignes ; 

• les lignes enterrees sont soumises aux aleas des travaux publics (voir 
page 166 l'anecdote du pont de Suresnes). 

L’entreprise peut demander ou l'operateur telephonique proposer des chemine- 
ments separes. Il faut alors etudier par oh les cables passent et comment effec- 
tuer la separation : quelle distance y a-t-il entre les cables, quels sont les points 
de regroupement, comment se font les passages de rivieres, etc. ? 

Le fait de passer par un deuxieme operateur n'est pas une garantie, car ce der- 
nier peut fort bien emprunter une ligne louee aupres du premier operateur. Il 
peut done etre utile de se renseigner sur tous ces points et, pourquoi pas, de 
parcourir en voiture le trajet emprunte par les cables. 

Quant aux operateurs mobiles, ils encourent des problemes du meme ordre, a 
ceci pres que certaines portions de cablage sont remplacees par des ondes hert- 
ziennes dont la fiabilite va dependre des pylones, des antennes, des emetteurs 
et d’autres materiels informatiques. La telephonie mobile est egalement sensi- 
ble aux intemperies, des vents forts pouvant, par exemple, endommager les 
antennes. 

Autocommutateur 

L'autocommutateur accueille les lignes telephoniques externes et distribue les 
appels sur d’autres liens internes. Associes a l'autocommutateur, on trouve sou- 
vent d'autres materiels tels que des serveurs interactifs de reponse vocale, des 
boTtes vocales, des repondeurs, des systemes de routage d'appels, des moyens 
de conference, etc. 


Management de la continuite d’activite 


II faut alors proceder comme pour une petite salle informatique, en verifiant les 
points suivants : 

• la liste des equipements, avec descriptions et numeros de serie ; 

• les contacts et numeros du service de maintenance, en cas de panne ; 

• les sauvegardes qui doivent avoir ete faites et leur lieu de conservation ; 

• des elements tels que les alimentations electriques secourues, les alarmes en 
cas de depassements de temperature ou de taux d'humidite ; 

• la securite d'acces : les cles du local de l'autocom (ferme a cle) doivent etre en 
possession de quelques personnes responsables identifies ; 

• les systemes anti-incendie : ceux-ci doivent etre prevus et leurs tests avoir ete 
executes et notes. 

La similitude avec la salle informatique ne s’arrete pas la : il est en effet possible 
de louer un autocom de secours qui peut etre amene dans un conteneur et con- 
nects au reseau de l'entreprise. Ce type de contrat peut avoir ete prevu en 
secours (voir le chapitre 3). 

La similitude avec les pratiques des informaticiens est cependant faible, la tele- 
phone restant un monde a part. 

Reseau informatique 

Le reseau informatique du lieu de travail se decompose lui aussi en trois parties, 
qui presentent une analogie forte avec la telephone : 

• le reseau local (LAN - Local Area Network), proche du poste de travail des 
employes ; 

• des materiels de commutation ou de routage, des controleurs de reseau, des 
serveurs bureautiques ou d’impression, des imprimantes departementales, 
situes en general dans de petites salles ou des sites appropries dans les 
locaux ; 

• le reseau externe a l’entreprise, pour lequel les commentaires sont les memes 
que precedemment pour la telephonie. 

Le reseau federateur ( backbone ) de l’entreprise, present en salle informatique, est 
traite dans le chapitre 8. 

Reseau local (LAN) 

Le Local Area Network (LAN) est le reseau interne aux bureaux qui connecte les 
postes de travail aux divers equipements utiles. 

Comme on l'a vu plus haut, une partie du cablage du reseau interne a i'entre- 
prise, de meme que certains moyens de repartition, est souvent tres voisine phy- 
siquement de la telephonie. Les memes remarques s'appliquent done en ce qui 
concerne les goulottes, les cabinets de repartiteurs, etc. 

L' apparition de la telephonie sur IP transforme le telephone en veritable termi- 
nal Internet branche sur le LAN. Ce telephone a toutefois besoin d’une alimen- 
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tation electrique qui est souvent fournie par le LAN lui-meme, moyennant des 
amenagements. Cela ajoute un risque dont il faut tenir compte dans les armoi- 
res de cables. 

En regie generale, il faut controler : 

• les cheminements des cables et leur protection ; 

• les installations de repartiteurs, ou sous-repartiteurs, avec des documents a 
jour, des plans clairs, des terminaisons identifiees ; 

• les salles ou placards utilises, qui doivent etre fermes a cle, les cles etant dis- 
ponibles aupres de personnes clairement identifiees ; 

• les moyens anti-incendie, inspectes regulierement avec une preuve de l’ins- 
pection. 

Serveurs bureautiques 

Les serveurs bureautiques completent le poste de travail (PC) de l'utilisateur et 
conservent des documents (fichiers Word, Excel, etc.), permettant de fournir du 
stockage local ainsi que des moyens d'impression et de messagerie, par exem- 
pt. Leur defaillance empeche, entre autres, l’acces des utilisateurs a leurs docu- 
ments, l'echange de messages et l’impression. Ces serveurs sont consideres de 
plus en plus souvent comme critiques par les entreprises. 

La pratique qui consistait a installer ces serveurs bureautiques pres des photo- 
copieuses ou des machines a cafe a vecu. Les grandes orientations actuelles 
consistent a deplacer et consolider ces serveurs, en fonction de leur mission : 

• sur des NAS (voir le chapitre 8), pour les serveurs de fichiers, souvent depla- 
ces dans un centre informatique ; 

• sur de gros serveurs de messagerie (en grappe ou redondance), situes en 
general dans un centre informatique ; 

• sur de petits serveurs dedies aux impressions avec une imprimante locale, 
departementale ou multifonction proche des utilisateurs. 

Au vu de ces evolutions, les serveurs bureautiques rejoignent les serveurs de 
stockage associes au centre informatique. Ils beneficient alors de toute l'infra- 
structure et des systemes de sauvegarde du centre. 

Si l'entreprise utilise encore des serveurs bureautiques delocalises, il faut alors : 

• identifier les administrateurs et les responsables ; 

• s’assurer qu'il n’y a pas de surchauffe ou d'anomalies d’environnement (vibra- 
tions, humidite hors norme) ; 

• s’il y a des sauvegardes, s'assurer qu'elles sont bien realisees et entreposees 
en lieu sflr ; 

• s’il y a des imprimantes, limiter la quantite de papier entreposee pres des 
machines, qui constitue un risque supplementaire d'incendie. 
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Le poste de travail 


Le poste de travail de type PC a une importance variable dans l'informatique 
generale de 1’entreprise. Historiquement, l'informatique est apparue bien avant 
le PC et utilisait des terminaux passifs. Les premiers PC ne servaient qu'a la 
bureautique et leur connexion reseau entre eux et aux serveurs ne s’est faite que 
progressivement. Aujourd'hui, l'utilisateur ne connatt plus l'informatique que 
par son PC. 

Une importance variable 

Au sein de l'entreprise, plusieurs usages du PC cohabitent a des degres divers. 

• Avec les architectures dites « client-serveur », le PC a acquis une importance 
nouvelle : il devient depositaire d'une partie des applications de l’entreprise, 
dont certaines sont critiques. 

• Le PC est toujours la base des applications bureautiques (traitement de texte, 
tableur) qui sont de plus en plus integrees dans le systeme d'information de 
l'entreprise. 

• Le PC est tres souvent aussi un « client lourd » de messagerie, depositaire de 
la boTte aux lettres de son utilisateur. 

• 11 est quelquefois utilise en tant que client leger ou simple navigateur web, 
auquel cas il peut etre remplace par des terminaux legers. 

• Les donnees qu'il manipule sont presentes soit sur son disque dur, soit sur 
un serveur de fichiers local de l'entreprise (voir NAS ou serveur de fichiers 
dans le chapitre 8), soit sur un serveur central au centre informatique. 

Le PC est done depositaire d'une partie plus ou moins importante des donnees 
vitales de l'entreprise. Meme si cette part est actuellement en diminution, car on 
prefere centraliser le stockage sur des moyens plus stirs, on ne peut pour autant 
l'ignorer. 

Par ailleurs, en tant que poste de travail commun, les acces aux serveurs et 
applications centralises de l'entreprise passent par le PC, sa perte empechant 
done tout travail sur l’informatique. 

Enfin, certains utilisateurs creent, modifient et suppriment sur leur PC des don- 
nees vitales pour l'entreprise. Cette pratique quelque peu dangereuse existe par 
exemple dans certains services financiers oh des donnees ainsi gerees sont 
injectees dans des outils de reporting comptable. Ces donnees presentent un 
risque (pas uniquement en termes de continuite, d'ailleurs) qu’il faut identifier. 
On les appelle « donnees utilisateurs » (user data). 

Se premunir contre la perte du PC revient done a proteger des donnees, proteger 
des applications et permettre de continuer a travailler malgre tout. 
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Protection des donnees 

Trois niveaux de protection sont generalement pratiques en ce qui concerne les 
donnees manipulees sur PC . 

1 . Aucune protection : si le PC est detruit ou si le disque dur est hors service, 
la donnee est detruite ou plus exactement perdue. 

2. Protection locale : l’utilisateur dispose d'un graveur de DVD, d’un enregis- 
treur sur cassette ; les donnees qu'il veut conserver sont ainsi sauvegardees 
localement. 

3. Protection par le reseau : les donnees du PC sont conservees sur un serveur 
NAS ou autre, oh les sauvegardes sont organisees. 

En matiere de continuity d’activitd, il est important pour l'entreprise de s'assu- 
rer que les sauvegardes sont effectuees convenablement. Si ce n'est pas le cas, il 
faut modifier la maniere de faire en generalisant la protection par le reseau (cas 
n° 3). 

Protection des applications 

Pour les applications utilisees sur PC, le meme schema se retrouve a quelques 
details pres. 

1 . Aucune protection : en cas de perte, l'application n'est a priori pas recupera- 
ble. 

2. Protection locale : le CD d'installation a ete conserve et on peut reinstaller 
localement l’application perdue. 

3. Protection par le reseau : en cas de perte, l’application peut etre telechar- 
gee et reinstallee a partir d’un lieu de conservation central. 

Il est clair que les pratiques sont d etudier pour verifier que les applications Vita- 
les de l'entreprise se trouvent bien dans le dernier cas (sur le reseau). Une ame- 
lioration des pratiques est a envisager serieusement si ce n'est pas le cas. 
Certaines entreprises limitent la protection locale (cas n° 2) au strict minimum, 
voire 1’interdisent, cette pratique de « bricolage » local etant jugee dangereuse. 
Certains outils sont capables, a partir du reseau, de detecter des applications 
installees localement et de les desactiver apres avoir averti un administrateur. 

Comment continuer a travailler ? 

Pour pouvoir continuer a travailler en cas de sinistre, l'utilisateur aura besoin de 
recuperer ses donnees et ses applications locales. Cela est realisable dans les 
cas suivants 

• lorsque celles-ci sont accessibles via le reseau (cas n° 3 ci-dessus) et que le 
reseau est en etat ; 

• lorsque celles-ci sont recuperables via un support correctement conserve - 
meme si le contexte est plus difficile et aleatoire ; 
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• lorsqu’aucune donnee ou application n'est conservee en local (cas du termi- 
nal leger) : Putilisateur n'a alors besoin que de se connecter au serveur. 

Tout dependra done de la disponibilite du reseau et des acces aux serveurs. 
D'autre part, Putilisateur a besoin de recuperer son outil de travail : un PC simi- 
laire a celui qu'il a perdu, ou bien un terminal leger. Il faut done conserver un 
stock de PC prets a l'usage et assez voisins des PC qu'ils remplacent. Ce type de 
stock est assez souvent prevu dans les contrats de maintenance amelioree, ou il 
s’agit de remplacer un PC en panne dans un delai rapide que la maintenance 
standard ne permet pas d'obtenir. Il faut alors bien verifier que le cas du sinistre 
est prevu, la particularity dans cette situation etant en effet le nombre important 
de PC a changer d'un seul coup. 

Le PC recupere doit §tre conforme aux modeles ( masters ) de Pentreprise : il doit 
respecter certaines caracteristiques techniques physiques et logicielles, dispo- 
ser d’un certain nombre d'applications pre-installees et configurees. De plus, sa 
securite doit etre prevue en respect des normes de Pentreprise. 

Pour recuperer un poste de travail, il est aussi possible de recourir a des porta- 
bles stockes a l'abri ou de permettre a l'employe de travailler de chez lui avec 
son ordinateur personnel. 

PC portables 

Par rapport a ce qui precede, le portable possede un avantage - il peut etre 
conserve a l'abri - et un inconvenient : il n'est pas connecte au reseau en perma- 
nence. 

Le probleme de la sauvegarde individuelle se pose davantage dans le cas des 
portables, oh elle est plus facilement toleree, pouvant d'ailleurs prendre des for- 
mes simples comme la gravure sur DVD ou la cle USB. Afin que le portable bene- 
ficie des facilites de Pentreprise, il est indispensable de le connecter 
regulierement pour sauvegarder sur le reseau son contenu et pour mettre a jour 
son systeme et ses applications. 

D'autre part, en cas de sinistre, le portable a moins de chance d'en etre victime 
(absent ou stocke dans un coffre). Mais s’il est sinistre, recuperer ses donnees 
sera plus difficile. Il est donctres important de sensibiliser son titulaire afin qu’il 
stocke ses donnees le plus souvent possible sur le reseau de Pentreprise ou sur 
un media amovible quand il se deplace. 

Le PC portable possede une batterie qui le met a l'abri des coupures de courant. 
En revanche, en cas de stockage prolonge, il faudra penser a la charge et a la 
bonne sante des batteries. 

Enfin, ce type de PC est beaucoup plus sensible au vol, a la perte ou a la destruc- 
tion durant les deplacements. 

Il existe des armoires speciales pour conserver les PC portables. Certaines sont 
de veritables coffres forts, resistent au feu et permettent meme de charger les 
batteries. Les solutions les plus evoluees autorisent aussi les connexions reseau 
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permettant des mises a niveau de logiciel, le tout alors que les PC portables se 
trouvent dans le coffre. 

Travail a domicile 

En cas de sinistre, il arrive que l'entreprise demande a ses salaries de travailler 
depuis leur domicile. L'outil de travail utilise peut varier : 

• cela peut etre un PC portable prate par l'entreprise que le salarie se procure 
au bureau ou conserve chez lui ; 

• cela peut etre un PC fixe qui, en general, appartient a l’employe mais sur 
lequel l’employeur a installe certains logiciels. 

Generalement, pour etre efficaces, ces PC sont connectes a Internet de diverses 
manieres et peuvent acceder a certains serveurs de l'entreprise. En cas de sinis- 
tre, cette solution peut permettre de gagner du temps : 1’employe rentre chez lui 
et accede a des applications d'entreprise ou a des services loues chez un tiers, 
pour la messagerie par exemple. 

Ce type de travail particulier eveille des questions relatives aux equipements de 
travail a la maison, a la responsabilite et aux cofits, qui doivent etre definies 
clairement a 1’avance entre l'employeur et le salarie, voire figurer dans le contrat 
de travail. Les cofits lies aux communications doivent etre pris en compte et 
l’employeur fournir un service approprie de support technique. Question secu- 
rity, c'est k l'entreprise de prendre les mesures qui s'imposent pour assurer la 
protection des donnees utilisees et traitbes par le travailleur a distance (achat 
de logiciel specifique, mise en place d’un systeme de security d'acces au serveur 
de l'entreprise, mode terminal ou client leger, etc.). De son cote, le teletra- 
vailleur doit respecter les regies de l’entreprise le concernant : confidentiality, 
restriction a l'usage des equipements ou outils informatiques, etc. 


Les ressources humaines 


« Il n'est de richesse que d'homme », dit le proverbe. L'entreprise ne doit done 
pas negliger de prendre en consideration les ressources humaines dans son 
approche de la continuity. Cela concerne les employes comme les prestataires 
externes. 

Deux approches differentes sont envisageables, l'employe pouvant etre victime 
d'un sinistre ou, a l’inverse, etre de son fait k l’origine d’un sinistre ou d’une 
interruption d’activite (malveillance ou erreur humaine). 

La malveillance 

Parmi les actions malveillantes dommageables a la continuity de 1’activite, on 
trouve : 

• le depart de personnel provoquant des manques de competence graves ; 
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• l'arret de travail en production avec ou sans blocage d’elements importants 
pour la continuite de l'entreprise ; 

• le vandalisme, d’ampleur variable, commis par des elements interieurs a 
l’entreprise ; 

• le terrorisme ou sabotage ; 

• l’effacement, volontaire ou non, de donnees, logiciels ou systemes ; 

• le vol de documents importants pour la continuite de l’entreprise ou la 
securite ; 

• des saisies de donnees volontairement fausses, des lancements de program- 
mes inexacts ou avec de mauvais parametres dans l'intention de nuire ; 

• les modifications volontaires de comportement de logiciel, les virus informa- 
tiques, etc. 

Plus proches de la thematique de la securite, ces considerations touchent la a la 
limite du sujet de cet ouvrage. Des listes plus approfondies de ces menaces sont 
disponibles aupres des associations professionnelles qui ont developpe des 
approches de la securite et des parades (comme le Clusif avec Mehari, par 
exemple : voir en annexe 1). 

En regie generale, la pratique face aux actes de malveillance consiste a : 

1 . detecter les postes sensibles et connattre les personnes qui les occupent ; 

2. accorder des droits d’acces precis et securises pour les employes a ces pos- 
tes (logons informatiques, acces a des salles, acces a des listings imprimes, 
etc.) ; 

3. suivre et tracer tous les evenements ayant lieu sur ces postes, avec des jour- 
naux informatiques par exemple, des mains courantes, des enregistrements 
video (internes et externes) ; 

4. mettre en place des controles reguliers (par la hierarchie, la DRH. . .) ; 

5. s'assurer autant que possible que les actions malveillantes eventuelles ne 
sont pas irremediables et peuvent etre recuperees (par des sauvegardes et 
des secours divers) ; 

6. enfin , etudier les contrats d'assurance pour verifier comment la malveillance 
y est incluse. 

Tout ceci doit bien sur s'effectuer dans le respect de la legislation. 

L'aide aux victimes 

Dans les cas oh les ressources humaines sont victimes du sinistre, on pensera 
alors : 

• aux premiers secours, bien evidemment ; 

• a l'assistance psychologique a mettre en place ; 

• aux aides familiales aupres des proches ; 

• aux competences et remplacements a prevoir ; 
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• a la communication des evenements ; 

• a etablir des listes precises des victimes ; 

• a la fatigue de ceux qui travaillent ou assistent au sauvetage ; 

• k determiner ce que 1'on peut faire et ce que Ton doit faire et a demander de 
l'aide pour couvrir le decalage. 



Chapitre 10 


Le centre 
inFormatique 


Avec les divers mouvements de consolidation des materiels informatiques de 
1'entreprise, le centre informatique se trouve depositaire d'elements tres impor- 
tants pour la disponibilite et la continuity des activites. 

Le centre informatique lui-meme possede une infrastructure particuliere qu'il 
faut choisir et gerer avec soin afin de satisfaire aux objectifs de continuity de 
1'entreprise. 


Choix du site 


Idealement au nombre de trois (primaire, secondaire et distant), les centres 
informatiques sont localises sur deux sites : un premier site sur lequel sont 
organises les centres primaire et secondaires en « duo » ou « campus » et un 
deuxieme site a distance convenable, sur lequel on prevoit le centre de secours 
distant. 

Cette dualite du premier site est un ideal que n'atteignent que les entreprises 
ayant un niveau d'exigence tres eleve en matiere de continuity d’activite. Les 
autres se contentent d'un site dit principal convenablement fiable selon leurs 
criteres, double d'un site distant pour le secours. 

Ce deuxieme site a distance est considere comme moins critique que le site 
principal. Toutefois, ce site distant est en realite tres souvent le site principal 
d’une autre branche de 1’entreprise ou d’une autre societe ; il est alors aussi cri- 
tique que les autres. Le choix du site doit done dans tous les cas de figure etre 
effectue avec la plus grande attention, a base de criteres raisonnes. 
L’appreciation des risques presentee dans le chapitre 1 a donne une liste des 
principaux facteurs a prendre en compte, a laquelle on se reportera. Lors du 
choix d’un site pour y creer un centre informatique, il est ainsi possible de selec- 
tionner un emplacement permettant de minimiser ces risques. L’approche est 
tout de meme delicate, car il faut trouver des compromis : un site idealement 
situe, loin des tremblements de terre et des inondations, s'il est loin de toute 
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ville agreable et de toute universite risque fort de n'attirer aucun employe 
competent ! 11 faut done graduer les exigences et peser le pour et le contre de 
criteres potentiellement contradictoires. 

Vulnerabilite du site 

On se reportera sur ce point au chapitre 1. Neanmoins, lorsqu'il s'agit de choisir 
une nouvelle implantation, il est interessant d'evaluer aussi la vulnerabilite des 
differentes solutions possibles. 

Pour un desastre donne, la vulnerabilite d’un site se mesure en pertes financie- 
res, mais aussi et surtout en pertes humaines. Sur ce deuxieme point, il faut 
considerer un certain nombre de facteurs, tels que : 

• la densite de population dans la zone consideree ; 

• la comprehension scientifique du risque ; 

• le niveau d'education et de sensibilisation du public ; 

• 1’ existence de systemes divertissement, de communication, d'alerte ; 

• la disponibilite ou non d' infrastructures de secours et leur degre de 
preparation ; 

• le respect des regies de construction, les pratiques locales ; 

• certains facteurs culturels determinant la reaction du public. 

Tous ces points peuvent en effet jouer sur les comportements et done sur les 
consequences du sinistre. 

Attractivite du site 

Le site envisage doit attirer des collaborateurs (le site totalement vide etant une 
vue de l'esprit) et offrir un environnement propice aux activites. Ce sujet sort du 
theme de cet ouvrage, mais citons neanmoins : 

• l’existence de colleges, de lycees, d'universites ou d'ecoles d'ingenieurs a 
proximite ; 

• la qualite de vie (voir par exemple les classements faits par certaines revues 
du genre « les villes oh il fait bon vivre ») ; 

• revolution des populations (en baisse ou en hausse) ; 

• la facilite a se loger sur place (a l'hotel ou en logement fixe) ; 

• le droit du travail et la protection sociale (pour les sites a 1'etranger) ; 

• la connaissance ou non des caracteristiques des lieux (la notion de zone 
inondable, zone a risque, etc. existe-t-elle sur place ?) et leur suivi dans le 
temps. 

La continuite d'activite est en effet aussi une affaire de competence et de moti- 
vation du personnel. 
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Climat des affaires 

Le site doit se trouver dans un environnement propice aux affaires. Cela con- 
cerne aussi bien la situation economique et politique, mais vu sous l'angle de la 
continuity d’activite, on observe les points suivants : 

• la presence de compagnies d’assurance et d'offres de contrats convenables ; 

• une fourniture de qualite pour l'electricite, la telephone, le reseau ; 

• la proximite des points d'acces reseau, ou des points de presence pour la 
fibre optique k haut debit ; 

• la facility a acquerir un terrain plus vaste que le simple centre informatique ; 

• le cout de 1'immobilier pour le site et les collaborateurs ; 

• la possibility d'obtenir des offres de services de secours, d'hebergement 
informatique, de conseil, etc. 

En particulier lorsque Ton a choisi l'etranger, ces points peuvent s'averer deter- 
minants pour la bonne mise en oeuvre d'un plan de continuity. 

Regies de precaution 

A titre de precaution, certaines regies sont generalement admises et respectees 
pour le choix d'un site, quelle que soit la ville ou le pays : 

• etre situe a plus d’un kilometre de toute voie ferree, autoroute, voie de pas- 
sage de cargos, usine classee a risque ou usine de traitement des eaux ; 

• etre situe a plus de cinq kilometres de tout aeroport ; 

• etre assez eloigne d’emetteurs radio ou radars puissants (qui normalement 
n'acceptent rien a proximite) ; 

• etre a distance « suffisante » d'une centrale nucleaire, a apprecier selon les 
pays... ; 

• ne pas etre trop eloigne d'un poste source electrique (moins de cinquante 
kilometres), les defauts d’alimentation electrique etant souvent proportion- 
nels a cette distance ; 

• se tenir en dehors de toute zone inondable, loin de l’aval d'un barrage ; 

• avoir acces facilement a l’eau potable et a de l'eau en general pour refroidir 
ou yteindre un incendie. 

Bien evidemment, si ces regies sont valables lorsqu'on choisit le site, elles peu- 
vent ne plus s'appliquer ulterieurement. 

Il est souhaitable, dans la logique du plan de continuity, de determiner les crite- 
res juges valables par la direction, de leur accorder un certain poids, puis de les 
evaluer ou faire evaluer. Les notes obtenues permettent alors de departager les 
sites candidats. 
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Infrastructure du centre informatique 


Le centre informatique accueille des elements critiques tels que des serveurs, 
des reseaux, du stockage, etc. 11 permet leur fonctionnement mais peut aussi 
provoquer des pannes diverses et variees dont certaines sont de mode commun 
(voir le chapitre 7) et done prejudiciables a la continuite. 

Elements critiques 

Les elements du centre informatique pouvant connattre des pannes prejudicial 
bles d la disponibilite sont nombreux : les contraintes en termes de fiabilite et 
de securite portant dessus sont a etudier soigneusement. On peut citer en 
particulier ; 

• la chaTne des alimentations electriques qui doivent etre redondantes, prote- 
gees et que Ton doit pouvoir couper par sections ; 

• les capacites a generer du courant electrique en cas de coupure (batteries, 
alternateurs, generateurs Diesel ou fioul) doivent etre dimensionnees correc- 
tement en puissance, qualite de courant et duree de production ; 

• la climatisation doit etre suffisamment fiable et adaptee aux calories a eva- 
cuer et sa maintenance ne doit pas necessiter l'arret general ; 

• les eventuels points chauds de la salle doivent etre detectes et refroidis loca- 
lement, la temperature des elements sensibles (serveurs) surveillee ; 

• les filiations d'air doivent aussi maintenir le bon taux d'humidite ; 

• les systemes de securite d’accds et de surveillance video doivent permettre la 
tragabilite des acces dans le respect des lois ; 

• les systemes de detection et de securite incendie peuvent eviter des dommages 
importants : leur bon etat de fonctionnement doit etre verifie regulierement ; 

• les planchers et faux planchers doivent pouvoir supporter le poids des machi- 
nes (qui evolue a la hausse) ; 

• les canalisations d’eau doivent eviter toutes les zones ou une fuite serait 
catastrophique ; 

• les cables electriques et de reseau SAN, IP, etc. doivent suivre des chemine- 
ments distincts ; 

• les interventions de maintenance doivent pouvoir se faire en perturbant le 
moins possible l’ensemble ; dans certains cas, il faut prevoir des bipasses. 

En resume, un centre informatique est un ensemble de technologies diverses 
qui doit avoir fait l'objet d'une etude d'ingenierie de conception visant a une 
bonne disponibilite et a une reparabilite aisee. 

Referentiels et normalisation 

Durant les annees 2000-2005, des travaux concourants ont abouti a un ensemble 
de bonnes pratiques pour la conception et l'amenagement des centres informa- 
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tiques. Des comites d'utilisateurs ou de normalisation se sont penches sur le 
sujet, tels que le Uptime Institute aux Etats-Unis ou la Telecommunications Industry 
Association (TIA), auteur de la norme TIA 942. 

Ces travaux ont classe le niveau de service d'un centre informatique en quatre 
categories (tiers en anglais), du plus faible au plus eleve. Le tableau suivant pre- 
sente quelques caracteristiques de ces quatre categories ou classes. 


Tableau 10-1 : Les quatre classes du centre informatique, selon le Uptime Institute 


Classes 

Caracteristiques principales 

1 

- alimentation electrique sur une voie 

- refroidissement sur une voie 

- nombreux points uniques de defaillance 

- pas de generateur electrique si autonomie electrique de huit minutes 

- vulnerable aux intemperies 

- indisponibilite inferieure a 28,8 heures par an 

2 

- alimentation electrique sur une voie 

- refroidissement sur une voie 

- quelques composants redondants 

- generateur de secours 

- supporte 24 heures de coupure de courant 

- quelques criteres de choix de site 

- salle informatique formellement separee 

- indisponibilite inferieure a 22 heures par an 

3 

- alimentation electrique et refroidissement sur plusieurs voies dont une seule 
active 

- alimentation et refroidissement redondants 

- fournisseurs de service doubles 

- supporte 72 heures de coupure de courant 

- criteres eleves de choix de site 

- resistance au feu : 1 heure 

- permet la maintenance a chaud (concurrente) 

- indisponibilite inferieure a 1,6 heures par an 

4 

- alimentation electrique et refroidissement sur plusieurs voies actives 

- composants generalement redondants 

- tolerance aux pannes 

- supporte 96 heures de coupure de courant 

- criteres tres exigeants de choix de site 

- resistance au feu d'au moins 2 heures 

- securite physique de haut niveau 

- equipe de maintenance presente 24h/24 7j/7 

- indisponibilite inferieure a 0,4 heure par an 


Bien evidemment, un site donne peut se trouver en classe 3 sur un theme et en 
classe 1 sur un autre. C'est cependant le plus bas (done 1) qui l'emporte car la 
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chaTne de disponibilite prend la valeur du maillon le plus faible. Dans la prati- 
que, nombre de fournisseurs ne pouvant pretendre completement a la classe 4 
(car il leur manque certains elements) mais estimant etre meilleurs que la classe 
3 qualifient leur centre informatique de « 3+ ». 

Il existe certaines differences d'approche et de contenu entre le Uptime Institute et 
la TIA 942. Pour plus de details, se referer aux documents cites en annexe 2. 
Lorsque 1'entreprise a recours a un prestataire externe pour son centre informa- 
tique, elle a tout interet a specifier dans son cahier des charges des references 
aux « classes » definies par ces normes. 

Les principaux risques et leur parade 


Un centre informatique est expose, comme tout batiment, aux risques habituels 
que sont l’incendie, l'inondation, la foudre, etc. Le fait qu'il heberge des ele- 
ments critiques pour l’activite de 1'entreprise et detienne des informations sen- 
sibles en stockage exige une demarche orientee dans deux directions : 

• un niveau de protection ou de prevention eleve ; 

• une capacite reelle a limiter les consequences. 

Lorsqu'on congoit un centre a partir de zero, il est possible de jouer sur les deux 
tableaux, et en particulier sur la prevention. Lorsque le centre existe deja, en 
revanche, les menaces sont deja presentes et il faut alors en limiter les conse- 
quences eventuelles. 

Incendie 

Le feu, dans un centre informatique ou ses annexes, peut avoir des consequen- 
ces graves, dont certaines sont difficiles a percevoir immediatement. 

Degats 

Les degats d'un incendie sont directs et evidents : pertes de stocks et de docu- 
ments, destruction de biens et de reserves diverses, dommages causes par l'eau 
necessaire a l'extinction du feu, locaux devenus impropres a leur usage, etc. 
Mais d'autres dommages atteignent le centre informatique de fagon beaucoup 
plus pernicieuse : 

• affaiblissement de certaines structures du batiment telles que des poutres ou 
des murs ; 

• destruction de cloisons ou vitrages, rendant nulles les isolations de zones k 
risque ; 

• degats peu visibles dans les faux planchers, les gaines surelevees de passage 
de cables, les systemes de climatisation... ; 

• deterioration importante des isolants des cables, devenus impropres h leur 
usage et risquant de provoquer des courts-circuits ; 
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• problemes dus aux fumees et emanations toxiques. 

En outre, les incendies peuvent avoir des effets indirects qui s’apparentent a des 
pannes de mode commun : ainsi, si une coupure generate de l'alimentation 
electrique est requise et que les generateurs Diesel sont interdits de fonctionne- 
ment, aucun serveur ne pourra fonctionner. Si, de plus, la connexion reseau vers 
l’exterieur du site est hors service, ces situations peuvent mettre en danger toute 
action de reprise sur un site voisin ou eloigne et reduire ainsi a neant toute stra- 
tegic de continuity. 

Parades 

Les parades a mettre en place sont de plusieurs natures. Les listes donnees ci- 
apres ne pretendent pas etre exhaustives mais sont particulierement adaptees 
au contexte du centre informatique. 

Prevenir 

Des actions elementaires de respect de certaines regies se revelent tres efficaces 
en termes de prevention : 

• ne pas laisser dans une zone a risque des cartons d'emballage, du polystyrene 
et autre combustible - lorsqu’une machine est deballee, son emballage doit 
etre sorti de la salle et mis en un lieu prevu k cet effet ; 

• organiser le stockage des reserves de papier pour imprimantes de maniere a 
ne pas fournir de combustible au feu ; 

• respecter les recommandations des constructeurs pour les alimentations 
electriques des machines et les sections de cablage ; 

• inspecter les cables electriques, changer immediatement tout cable denude, 
toute connexion noircie ou suspecte ; 

• faire respecter les interdictions de fumer (le megot mal eteint est une cause 
importante d’incendie) ; 

• reglementer l'usage des chauffages electriques d'appoint, des machines a 
cafe et de tout autre appareil qui maintient une temperature elevee ; 

• eliminer de la salle informatique et de ses abords tout ce qui peut constituer 
un combustible ; 

• respecter et faire respecter la reglementation en vigueur ; 

• faire visiter les locaux par les services incendies (un expert des pompiers, par 
exemple) pour obtenir un etat des lieux et eventuellement connaTtre les ris- 
ques du voisinage ; 

• separer les cheminements de cables conducteurs de courant fort de ceux 
transmettant du courant faible ; 

• passer une fois par an l’aspirateur dans le dessous des faux planchers ; 

• inspecter les goulottes de cables en nettoyant tout ce qui n'a pas a s’y trouver. 
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Reagir 

Des les premieres flammes, il faut reagir. Certaines reactions permettent de 
reduire les degats, voire d'arreter le feu avant qu’il y ait sinistre. Les actions sui- 
vantes peuvent contribuer a encourager les bons comportements : 

• mettre en place des extincteurs appropries aux differentes natures de feux 
possibles, les garder en bon etat par une maintenance reguliere et indiquer 
clairement leur emplacement ; 

• former regulierement le personnel au bon usage des extincteurs avec des 
exercices pratiques ; 

• mettre en place les detecteurs appropries capables de declencher l'alarme ; 

• concevoir un declenchement d'alarme correct, capable d'entrafner des 
actions telles que : 

- fermer des portes coupe-feu, 

- activer des systemes d' extinction, 

- prevenir les secours, 

- ouvrir les verrous electroniques de portes pour permettre les evacuations, 

- alerter le personnel d'evacuation, 

- eventuellement, arreter des machines sensibles ; 

• s'equiper en systemes d’extinction qui conviennent a 1’environnement d’une 
salle informatique (gaz neutre non mortel, conforme aux normes) ; 

• determiner les elements sensibles en cas d’incendie (cassettes, bandes, 
documents) et prevoir un stockage approprie (coffre ignifuge, par exemple) ; 

• poser des affiches et communiquer sur le comportement a adopter en cas 
d'incendie ; 

• faire des exercices d’evacuation du centre ; 

• tester les equipements. 

Dans tous les cas, la methode la plus efficace consiste & detecter le plus tot pos- 
sible l'incendie, en prevenant des personnes formees qui organisent les actions 
prevues, tout en ayant sensibilisb le reste des employes. 

Degat des eaux 

Sous cette appellation generique, on trouve des sinistres d’importance variable 
susceptibles d’affecter le centre : 

• inondations avec des consequences pouvant aller jusqu'a rendre un centre 
totalement inutilisable ; 

• pluies importantes avec des ruissellements, des infiltrations de toiture ou de 
fagade provoquant des dommages au batiment, aux machines et aux stocks 
en generant des infiltrations ; 

• infiltrations ou fuites provoquant des degats que Ton ne decouvre pas force- 
ment tout de suite, mais qui deteriorent des sous-ensembles du centre ; 
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• condensations localisees qui rongent des conduites, abtment lentement des 
revetements ou des plafonds, provoquent des courts circuits. 

Consequences 

Les effets des degats des eaux sont directs et indirects, de meme que les para- 
des seront immediates et differees. 

• Effets directs : la presence de 1’eau empechant toute activite dans le centre, 
il faut reagir immediatement en pompant l'eau et en la deversant en contre- 
bas, si c'est possible, ou dans un bac etanche ; 

• Effets indirects : une fois l'eau evacuee, le centre connait des moisissures, 
des courts-circuits, etc. ; il faut assecher les murs, detruire et reconstruire des 
cloisons, oter et reposer les tapisseries, les moquettes, le cablage electrique 
et telephonique - cela peut prendre plusieurs semaines pendant lesquelles le 
centre est inutilisable. 

Les effets des degats des eaux peuvent aller bien au-dela de ce qu'on imagine en 
premiere analyse et il n’est pas rare de decouvrir, une fois les eaux evacuees, des 
pannes diverses sur des systemes qui ont ete endommages par un sejour dans 
l’eau ou par un simple degre d'humidite trop eleve. 

Precautions a prendre 

Lorsqu'on peut decider de l’implantation d'un centre, les precautions deja men- 
tionnees plus haut consistant a eviter toute zone inondable s'imposent. Pour 
tous les autres cas, il est interessant d'envisager les solutions suivantes pour la 
prevention et la reaction en cas de sinistre : 

• prevoir des bassins d’expansion situes plus haut que le centre et se fournir en 
pompes de relevage d'un bon debit ; 

• drainer les alentours du centre et en ameliorer l'etancheite ; 

• surelever la partie la plus sensible du centre ; 

• ne pas faire passer de canalisations d’eau au-dessus d'elements sensibles ; 

• si le centre possede un systeme de refroidissement a eau, en prevoir la circu- 
lation en niveau bas ; 

• prevoir des systemes anti-fuite ou de coupure en cas de fuite sur les 
canalisations ; 

• prevoir des bipasses et des pieges a froid pour pouvoir changer les vannes 
defectueuses ou certaines pompes sans avoir a tout interrompre ; 

• pour tout systeme (climatiseur, canalisation froide) qui risque l'humidite ou 
la condensation, prevoir une recuperation de l'eau ainsi produite par bac ou 
lechefrite ; 

• laisser les canalisations apparentes et accessibles de maniere a ce qu’on 
puisse les inspecter facilement. 

Par ailleurs, il est important de tenir compte du fait que l’inondation mene la 
plupart du temps a une coupure electrique. Il est done judicieux d’avoir congu le 
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centre de maniere a ce que les systemes les plus sensibles soient mis hors 
d'atteinte de l'eau avec une alimentation par batteries et/ou generateur Diesel, 
eux-memes hors d’eau. 

Dysfonctionnements electriques 

L’alimentation electrique est indispensable pour tous les moyens informatiques 
du centre. Ses defauts sont ainsi fortement prejudiciables au bon fonctionne- 
ment des machines. 

Defauts courants 

Parmi les defauts courants de l’alimentation electrique, on peut noter : 

• les variations de tension, les microcoupures ; 

• les parasites ou courants induits (par les ballasts de tubes fluorescents, par 
exemple) ; 

• des perturbations diverses en frequence ou des defauts dus k des onduleurs 
de qualite mediocre ; 

• les problemes de references de potentiels multiples et d’electricite statique ; 

• la foudre qui genere des courants pouvant avoir des consequences destructri- 
ces a distance. 

Les divers equipements reagissent de maniere variable a ces defauts. Certains 
equipements industriels vont d’ailleurs eux-memes en generer. Si le centre est 
voisin d’une usine equipee de machines electriques (gros moteurs electriques, 
appareils de soudure electrique), il faudra etre particulierement vigilant. 

Precautions a prendre 

Parmi les precautions utiles a prendre, citons les actions suivantes : 

• separer les materiels sensibles comme les serveurs ou les routeurs de reseau 
des materiels perturbateurs (moteurs electriques, par exemple) ; 

• prevoir des transformateurs ayant la puissance necessaire ; 

• generaliser la mise au neutre ; 

• choisir des cables de qualite et s’assurer que leur pose a ete effectuee 
correctement ; 

• prevoir des cheminements de cables evitant les perturbations emises ; 

• separer le passage des alimentations nominales de celui de l'alimentation de 
secours (precaution generate : voir les chapitres precedents) ; 

• verifier regulierement les connexions. 

Moyens techniques 

Pour ameliorer la qualite du courant apporte en salle informatique, il est possi- 
ble de recourir a des dispositifs tels que des onduleurs ou des moteurs electri- 
ques a volant d'inertie doubles de batteries. En general, ces moyens permettent 
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d’attenuer les defauts du courant d'origine publique et de pallier a certaines 
coupures de courte duree (dix minutes). 

Pour des coupures de plus longue duree, il faut avoir les moyens de generer soi- 
meme du courant, via des generateurs Diesel ou a gaz. Les onduleurs a batterie 
doivent assurer le relais jusqu'a ce que ceux-ci entrent en action. 

Quant a la foudre, elle necessite une protection technique par paratonnerre en 
particulier. On utilise aussi les parafoudres pour proteger 1’installation electri- 
que et les lignes de transmission de donnees, la fibre optique etant a preferer 
dans ce cas. 

Enfin, l'electricitd statique peut se reveler dangereuse dans le cas des opera- 
teurs intervenant sur les serveurs et touchant des elements sensibles (cartes 
meres, processeurs) qui peuvent se trouver gravement endommages. Il faut 
regler correctement l'hygrometrie de la salle, poser des revetements antistati- 
ques au sol et porter des vetements en textiles ne produisant pas d'electricite. 
Pour tous ces moyens techniques concourant a la bonne disponibilite du centre, 
il faut prevoir une surveillance correcte et un contrat de maintenance permet- 
tant la remise en route rapide, incluant des pieces de rechange si necessaire. 

Autres risques 

Enfin, un centre informatique est expose a d'autres risques encore que ceux qui 
ont ete etudies precedemment. 

Defaut de climatisation 

La climatisation peut tomber en panne, que ce soit en raison d'une coupure 
electrique (dejh mentionnee) ou pour des raisons plus particulieres, telles que : 

• des fuites de liquide refrigerant ; 

• des pannes de ventilateurs ou d'aero-refrigerant externe ; 

• l'exposition a un rayonnement solaire direct trop eleve. 

Dans tous les cas, la temperature monte et atteint des zones impropres au bon 
fonctionnement des machines, serveurs, stockage, etc. Les mesures preventives 
consistent alors a prevoir des redondances des systemes de climatisation (de 
type n+\ ), a doubler les alimentations et h surveiller et maintenir ces systemes. 
En cas de defaillance totale, l'arret des machines sensibles ou responsables des 
plus gros degagements de chaleur est a prevoir rapidement. 

Il existe aussi un risque plus recent d'insuffisance chronique de refroidissement 
dans certains endroits de la salle informatique ou sont concentres certains ser- 
veurs qui degagent plus de calories que la moyenne. La parade face a ce pro- 
bleme consiste alors a : 

• ne pas remplir completement les racks de machines ; 

• disperser dans la salle les machines ou groupes de machines de ce type ; 

• prevoir des complements ponctuels de refroidissement aux points chauds. 
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Ces technologies, qui concentrent la puissance informatique et done par la meme 
occasion le degagement calorifique, peuvent amener a repenser la conception de 
l'ensemble de la climatisation de la salle ou a amenager une salle particuliere. 

Intrusions de personnel 

L’entree dans le centre ne doit etre reservee qu'au personnel habilite. Il existe en 
effet differents risques : 

• vols de materiel, de sauvegardes ; 

• mise sur ecoute, pose de bretelles telecom ; 

• vandalisme, destructions diverses. 

Une protection efficace sera apportee par : 

• des mecanismes de controle d’acces simples (gardien) ou sophistiques (iden- 
tification et authentifi cation par carte, etc.) ; 

• la tragabilite des personnes entrant sur le site (nom, prenom, jour, heure, per- 
sonne visitee) ; 

• la difficulty d'acces dans le centre (portes verrouillees, absence de baies vitrees) ; 

• une videosurveillance des alentours du site ; 

• la mise sous protection des elements sensibles comme les tableaux electri- 
ques, les moyens de coupure divers ou les repartiteurs telecom, qui ne doi- 
vent pas etre accessibles au premier venu ; 

• une procedure de controle a la sortie des employes emportant du materiel ou 
des sacs pouvant en contenir. 

Pollutions diverses 

Normalement, ces aspects ont dO etre pris en compte dans le choix du site sur 
lequel le centre est installe. Cependant, pour les centres situes dans des zones 
industrielles ou a proximite d’un site industriel, il existe certains risques lies a la 
pollution : 

• emanation de gaz dangereux pour le personnel ou le materiel ; 

• poussieres de diverses natures ; 

• eau impropre a son usage. 

Toutes ces atteintes toxiques peuvent se traduire par des problemes de sante, 
des dysfonctionnements de materiel, des risques de courts-circuits ou d'incen- 
die, des declenchements d'alarme intempestifs, etc. 

La parade pourra etre apportee par : 

• des filiations adaptees ; 

• des portes coupe-feu ; 

• des clapets dans les gaines de circulation d'air ; 

• des zones en legere surpression ; 

• une protection des reserves d’eau. 
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La gouvernance 
de la continuite 


Historiquement, les preoccupations de continuite d'activite sont apparues a 
divers endroits dans l'entreprise et a differents niveaux de son organigramme. 
Les demarches sont tantot techniques, tantot organisationnelles ; elles sont 
restees partielles, opportunistes et peu coordonnees. 

Une prise de conscience au plus haut niveau est en train de s'operer. Elle pousse 
les directions generates a considerer la continuite d’activite dans son ensemble 
et a mettre en place les elements d'une bonne gouvernance qui sont traites dans 
les trois chapitres suivants : 

• la politique de continuite (chapitre 11), dont 1' objectif est de mettre en place 
une structure ; 

• le lancement des actions d'elaboration du PCA et sa maintenance 
(chapitre 12) ; 

• le controle ou la verification de sa bonne execution (chapitre 1 3). 



Chapitre 11 


La politique 
de continuity 

Le mot « politique » - inexactement employe comme traduction de l'anglais 
policy - signifie ici « l'expression d'une volonte » de la direction generale de 
i'entreprise. Ainsi, ce terme recouvre aussi bien la volonte que l'expression : il 
s'agit done d'un document actant des decisions, accompagne d'une communica- 
tion interne a i’entreprise. Cette politique se traduit dans les faits par la mise en 
oeuvre d'un plan de continuite. 

Exprimer une volonte 


La politique, en matiere de continuite, correspond & une decision de la part de 
la direction generale de i’entreprise, qui exprime ainsi sa volonte et ses engage- 
ments. 

La volonte de developper un plan de continuite d'activite est exprimee dans un 
document emis par la direction generale. Ce document, simple et facile a lire 
(cinq pages environ), sert de cadre general dans lequel toutes les actions ulte- 
rieures en termes de continuite d’activite pourront et devront s’inscrire. Voici un 
descriptif type de sa structure : 


Politique de continuite d'activite 

1. Resume 

2. Introduction 

3. Conditions duplication 

4. Objet 

5. Peri metre 

6. Decision 

7. Benefices 

8. Responsabilites 

9. References 
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1. Resume 

Le resume permet d'annoncer l'essentiel en quelques lignes. 

Exemples 

« Les directeurs de branche doivent mettre en oeuvre un plan de continuite d'activite. » 

« Les responsables de groupe doivent montrer qu'ils ont pris en compte I'obligation 
d’avoir un plan de continuite efficace. » 

« Les plans doivent etre conpus, publies et testes pour les activites jugees critiques. » 

2. Introduction 

L'introduction donne le cadrage general, ainsi qu'une description du contexte. 

Exemples 

« En termes de continuite d’activite, la societe X a realise un plan de continuite qui neces- 
site une adaptation et un elargissement depuis son rachat par la societe Y. » 

« Ce document exprime I’orientation generale de I’entreprise Z sur les deux ans a venir. » 

3. Conditions d'application 

Ici sont exprimees les conditions d’application de la politique de continuite : sa 
date d'entree en vigueur, sa situation par rapport au passe, etc. 

Exemples 

« La presente politique s’applique a compter du jj/mm/aaaa. » 

« Elle annule le document emis precedemment. » 

4. Objet 

En fonction de la culture de l’entreprise et des travaux deja realises, on precise 
ensuite l'objet precis de la politique. 

Exemples 

« Proposer une structure generale pour les actions de continuite a lancer. » 

« Developper des plans de continuite. » 

« Ameliorer le plan de continuite et en etendre le perimetre. » 

« Degager un budget pour les actions de continuite menees par les directions 
operationnelles. » 

« Lancer une campagne de test des plans existants. » 

5. Perimetre 

Une fois l'objet determine, la politique precise le perimetre du plan de conti- 
nuite, avec ses exclusions eventuelles. 

Exemples 

« Le perimetre est I’ensemble de la SA en France. » 

« Les principauxfournisseurs de logistique sont indus dans le perimetre. » 

« Les filiales situees hors de I'Union Europeenne ne font pas partie du perimetre. » 


Chapitre 11 - La politique de continuity 


6. Decisions 

Exprimant clairement et de fagon structuree ce qui est decide par la direction, 
cette section represente le cceur du document. 

Exemples 

« Les directeurs d'unites seront les responsables charges de definir leurs activites critiques 
et le niveau de continuity desire. » 

« La structure du plan de continuity suivra les modeles fournis par la norme PAS 56. » 

« Les directeurs de region meneront des revues annuelles du plan. » 

« Des tests de simulation seront menes une fois par an dans les regions, sous la responsa- 
bilite des chefs de zone. » 

« Les contrats avec les prestataires devront inclure une clause ad-hoc . » 

7. Benefices attend us 

II s'agit maintenant de justifier la decision. On trouve ici des arguments que Ton 
peut reutiliser pour expliquer ou justifier la demarche. 

Exemples 

« Amelioration du service rendu au client. » 

« Limitation des consequences d’un sinistre sur les personnes, les biens et 
I'environnement. » 

« Rendre la reprise du travail plus efficace apres un incident de type X. » 

8. Responsabilites 

La definition des responsabilites est importante pour encourager des comporte- 
ments bien alignes. 

Exemples 

« Le responsable de la continuity rendra compte au comite directeur de I’etat d'avance- 
ment des travaux. » 

« Le comite de continuity est depositaire de la presente politique ; il signalera au comite 
directeur les eventuels amenagements a y apporter. » 

« Les responsables de branche sont responsables de la mise en oeuvre du plan dans cha- 
cune de leur branche. » 

9. References 

On indique ici les eventuelles normes a suivre ou les documents de politique ou 
directives d’une maison mere, par exemple. 


Nommer un comite de pilotage 


La direction generale designe une structure de type « comite de pilotage » (ou 
COPIL) pour le plan de continuity. Comme la plupart du temps, ce plan n'existe 
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pas au depart, c'est cette structure qui se voit confier la mise en place ou la crea- 
tion d'un plan de continuite d'activite (PCA) en bonne et due forme. 

Parmi les attributions de ce comite, on trouve : 

• respecter et faire respecter les orientations de politique definies 
precedemment ; 

• definir les objectifs du projet de mise en oeuvre d'un plan de continuite 
d’activite ; 

• fournir le support et les aides necessaires au bon avancement du projet ; 

• suivre l'avancement du projet (ce qui est accompli, ce qui reste a faire, risques 
encourus) ; 

• decider des orientations et reorientations eventuelles du projet ; 

• gerer le budget alloue au projet. 

Ce comite se reunit regulierement (toutes les semaines ou tous les quinze jours) 
et publie un compte rendu. 

La responsabilite du projet en lui-meme incombe a un directeur de projet qui 
fait souvent partie du comite de pilotage. Les differents chefs de projet rendant 
compte a ce directeur peuvent etre rattaches a divers services. Il est judicieux 
d'employer pour ce projet particulier les memes structures de projet utilisees 
habituellement par l'entreprise. Enfin, il est indispensable que ce projet ne soit 
pas mene uniquement par des personnes sans experience operationnelle. Ils 
peuvent etre detaches temporairement mais doivent avoir une bonne connais- 
sance et habitude du terrain. 


Construire 
et maintenir le plan 
de continuite 


Suite a une decision de la direction generate, l'entreprise doit construire son 
plan de continuite en mode projet sous la maTtrise d’un comite de pilotage. Des 
actions de sensibilisation des employes l’accompagnent. 

Une fois le plan de continuite mis en oeuvre, la vie continue, l'entreprise evolue, 
les hommes changent. Or, pour etre efficace, le PCA doit toujours rester d’actua- 
lite. C'est le but de la maintenance du plan. 


Lancement du projet de PCA 


Le projet de PCA doit etre lance par le comite de pilotage (COPIL) cree dans le 
cadre de la note de politique. 

Un brin de ceremonial (du type reunion de lancement) est souvent utile pour 
marquer les esprits. Les operationnels et les responsables d'unites doivent en 
effet savoir pertinemment qu'ils vont etre mis a contribution et comprendre pre- 
cisement ce que Ton attend d’eux. 

Quiproquo au CoDir : I’informatique ne peut decider seule ! 

La societe Meding lance un projet de PCA en France. 

Son approche part des equipes informatiques de production (au sens « exploitation »). A 
partir de modeles de questionnaires etablis par sa maison mere dans un pays d’Europe, 
certains des responsables d'exploitation informatique etablissent des questions precises 
sur les serveurs, avec differents criteres de reponse. Ils demandent alors a des responsa- 
bles de developpement informatique de remplir les fameux questionnaires, ce qu'ils font 
sans trap se poser de questions. 

On obtient finalement des informations sur les temps possibles d'interruption des ser- 
veurs Uranus, Neptune et Saturne. 

En comite de direction (CoDir), le responsable du PCA felicite les responsables metiers 
d'avoir repondu aussi vite. Ceux-ci ecarquillent les yeux, car bien que responsables de leur 
processus, personne n'est jamais venu les questionner sur la sensibilite au sinistre de 
leurs activites. 
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Intrigue, le responsable du PCA enquete et decouvre que personne n'a jamais demande 
quoi que ce soit aux responsables d'activites et que pour eux, d'ailleurs, Uranus, Neptune 
et Saturne ne sont que des planetes ! 

Ce quiproquo permet done de recommencer I'operation selon une meilleure maniere de 
faire : repartir des processus, observer les temps d'arret admissibles, puis traduire cela en 
termes informatiques. Le resultat constate est alors fort different : autres materiels, 
autres contraintes... 

Moralite : le personnel du service informatique ne peut et ne doit pas deviner a la place 
des operationnels, alors que ces derniers ne connaissent pas I'effet de leurs demandes sur 
I'informatique - ce qui est somme toute normal ! II faut done veiller a consulter les res- 
ponsables operationnels au meme titre que les techniciens. 

Concernant la planification de projet et le reporting, il est conseille d'employer 
les methodes usuelles dans l’entreprise. En effet, mieux vaut sur ces points evi- 
ter d'apporter trop de nouveaute. 


Formation et sensibilisation 


Afin d’eviter bien des mesaventures sur un projet unique dans l'histoire de 
l’entreprise, il est bon d'avoir mis en place un programme de formation et de 
sensibilisation. 

Ce programme pourra comporter plusieurs sessions allant de la sensibilisation 
generale a des formations plus approfondies destinees aux chefs de projets. 

Formation des chefs de projet 

Une session de formation pour chefs de projet peut comporter les aspects 
suivants : 

Objectifs 

• Donner aux participants des connaissances de base permettant de compren- 
dre les approches et les enjeux de la continuite d’activite (CA). 

• Permettre aux responsables d’expliquer et d’initialiser correctement une 
demarche CA dans l'entreprise. 

• Fournir une methode pour aborder la CA en entreprise et aboutir k la realisa- 
tion d’un PCA. 

Contenu 

• Introduction : developpement d’un PCA (etapes importantes, documents 
types, principaux concepts, definitions). 

• Construction du PCA : 

- Mattrise du risque : quels sont les principaux risques et comment les aborder ; 
comment mesurer et approcher le risque ; comment le diminuer ? 


Chapitre 12 - Construire et maintenirle plan de continuity 


- Analyse d'impact sur les activites : que l'entreprise doit-elle craindre ; quelles 
sont les activites critiques ? 

- D eveloppement d’une strategic de continuite ■. quelles sont les options disponibles ; 
lesquelles etudie-t-on ; comment choisir ? 

- D eveloppement d'un PCA : contenu du plan, travaux a effectuer, attribution des 
missions, ceci afin d'aboutir a un plan realisable ; presentation de listes 
types utiles. 

- Test du plan ■. comment s'assurer que tout fonctionne ; quels types de tests 
effectuer ? 

- Maintenance du PCA : que faut-il surveiller ; comment mettre a jour le plan ? 

• Gouvernance de la CA : 

- document de politique generale ; 

- comite de pilotage ; 

- projet de developpement ; 

- formation et sensibilisation ; 

- lois et reglements & prendre en compte ; 

- associations utiles. 

• Conclusion : « demain, je commence par quoi ? » 

Resultat 

A la fin de la formation, le participant a acquis une comprehension des enjeux et 
une vision claire des actions a mettre en place en premier lieu. 11 peut avoir 
acces a des outils en ligne pour initialiser sa demarche. 

Sensibilisation generale 

Les sessions de sensibilisation peuvent etre organisees pour toucher le maxi- 
mum de personnel. Elies doivent faire passer des messages simples et durer 
tout au plus une demi-journee. 

Certaines entreprises organisent ces sessions regulierement a dates fixes sur 
une periode : tous les lundis apres-midi pendant deux mois, par exemple. 

Coordination 


Le projet d'elaboration du PCA touche bien des aspects de l'entreprise. Les tra- 
vaux qu'il met en oeuvre interferent a maints endroits avec d'autres activites 
appartenant a d'autres projets en cours. 

Il est done important de garder une vue globale et coherente de l'ensemble. A 
cet effet, un role de surveillance doit etre devolu a un comite directeur dans 
l’entreprise, afin de detecter les besoins en coordination et de proceder aux arbi- 
trages necessaires. 

Par ailleurs, de par sa nature transverse, la continuite d’activite necessite 
d’entreprendre des actions communes ou tout au moins coordonnees avec des 
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organismes locaux ou nationaux, avec des directives internes ou externes, avec 
des prestataires ou confreres impliques, etc. Le role de coordination est done 
fondamental. 


Le projet de mise en oeuvre du PCA 


A la suite d'une decision de la direction generale, l'entreprise est done tenue de 
mettre en oeuvre un plan de continuite d’activite (PCA). C'est un projet a part 
entidre, essentiel pour l'entreprise. 

Ce projet de mise en oeuvre du PCA suit les principaux jalons indiques dans cet 
ouvrage du chapitre 1 au chapitre 5 : appreciation des risques, analyse d'impact 
sur les affaires, developpement d'une strategie de continuite, politique et 
cadrage du plan, attribution des differentes missions et planifi cation des actua- 
tes. Ces jalons peuvent servir a bon escient au decoupage du projet en differen- 
tes phases. En effet, ils se pretent bien a une planification des actions, avec des 
charges attributes et des livrables clairs. La plupart des livrables sont illustres 
dans les chapitres cites. 

Concernant les choix techniques necessaires a 1’elaboration de la strategie de 
continuite, on peut cette fois s’appuyer sur les chapitres de la troisieme partie 
de cet ouvrage. Quant au test du PCA, qui vient un peu plus tard dans le projet, 
la procedure et les enjeux sont decrits dans le chapitre 6. 

Pour les societes qui possedent deja un PCA et qui veulent l'ameliorer, le projet 
d'amelioration peut commencer par une campagne de tests. Les actions d’ame- 
lioration des defauts ainsi reveles constituent alors les etapes suivantes. 

Le role de controle exerce par la direction generale ou le comite de pilotage est 
capital. Il faut en effet verifier regulierement : 

• le degre d'avancement du projet d'etablissement du PCA sur ses principales 
etapes ; 

• les frais engages et les charges consommees ; 

• 1'evaluation du reste a faire ; 

• les principaux problemes rencontres ; 

• les actions correctives entreprises. 

Si tout se deroule bien selon ce schema, l'entreprise devrait, a la fin du projet, 
disposer d'un PCA conforme a ses orientations. 


Maintenance du PCA 


La politique exprimee par la direction generale a done permis de lancer le projet 
de realisation du PCA, qui a ete mene a bien. Il faut alors le maintenir en ordre 
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de fonctionnement. Cet aspect devra etre necessairement mentionne dans la 
politique. 

En effet, lorsque l'entreprise dispose d'un PCA operationnel, il lui faut malgre 
tout faire face a diverses perturbations : 

• les menaces et les risques evoluent ; 

• les activites de l'entreprise changent ; 

• l'entreprise elle-meme subit des transformations, demenage, rachete des 
filiales ou se fait racheter ; 

• la technologie offre des possibilites nouvelles ; 

• les processus de l'entreprise se modifient ; 

• les personnels evoluent ; certains partent, d'autres arrivent ; 

• les fournisseurs et les clients ne sont plus les memes. 

Tout ceci fait que le PCA initial devient errone en partie et inapplicable en l'etat. 
Il faut done le modifier, l'adapter et s'assurer qu’il demeure valable malgre tout. 
C'est le role du processus de maintenance du PCA, qui s’effectue au travers 
d’une gestion des changements. 

Un processus difficile 

La gestion des changements est un exercice difficile dans bien des domaines, et 
d’autant plus dans la continuity d’activite. 

Gerer les changements suppose en effet que quelqu’un soit tenu au courant de 
tout ce qui a change et le traduise dans une modification du PCA. Mission 
impossible ! Les changements surviennent de toute part et sont souvent effec- 
tues par les operationnels sur le terrain qui n’en avertissent pas forcement le 
gestionnaire des changements du PCA. Or celui-ci ne peut les decouvrir tout 
seul et, par consequent, encore moins en tenir compte. Une discipline de fer est 
necessaire pour que les operationnels previennent systematiquement le ges- 
tionnaire lors d’un changement, et hormis les transfomations evidentes telles 
qu'un demenagement de site, dans la plupart des cas, aucune certitude n'existe. 
C’est pour cette raison que nombre de changements sont en fait decouverts lors 
des tests. Ceux-ci constatent en effet des inexactitudes dues a des changements 
non repercutes. 

Faut-il pour autant ne rien faire ? Non, bien sflr, mais l'important est de rester 
pragmatique. Avant tout, il faut nommer un responsable de la continuity d'acti- 
vite en charge de la maintenance du plan. 

Veille des changements 

Certains changements peuvent etre decouverts au moins partiellement par un 
responsable de la continuity (RC), dans trois domaines : 
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• les mutations de personnel : certains specialistes changent de poste, quit- 
tent l'entreprise ou sont promus ; certains responsables changent, dans 
l’entreprise comme chez les fournisseurs employes pour la continuite ; 

• les evolutions technologiques : des solutions techniques nouvelles sont 
mises en oeuvre, tandis que les anciens systemes sont abandonnes. Ces 
changements ne sont helas pas facile a detecter dans leur totalite ; 

• 1'evolution de [’organisation des processus et des activites de l'entreprise : 
ce qui etait critique au depart peut l'etre moins et inversement. Ces modifica- 
tions peuvent etre prises en compte. 

Le RC doit done mettre en place un systeme de veille ou de detection. Cela peut 

se faire de plusieurs manieres : 

• en observant ce qui se passe, en consultant les annonces internes, en suivant 
les mutations, les projets, etc. ; 

• en contactant les chefs de projets et en les sensibilisant a l'importance de la 
communication de ce type d'informations ; 

• en emettant des circulaires pour rappeler certains elements importants, faire 
circuler des listes et demander verification ; 

• en se faisant regulierement confirmer par les responsables d'activite ce qui 
est critique ou non, les differents delais de reprise, etc. ; 

• en demandant 1'acces k des outils de gestion de configuration ou certains 
changements sont detectables ; 

• en demandant a etre mis en copie lors de la creation de nouveaux projets, 
etc. ; 

• en tramant du cote de la machine a cafe. . . 

II est interessant de mettre a ce poste un responsable reconnu et charismatique. 

II s'agit parfois d'un responsable de groupe, voire du coordonnateur du PCA 

(voir le chapitre 4). 

I Important 

Le devoir de rendre compte en cas de changement ayant un impact sur le PCA est un 
message essentiel a faire passer lors des sessions de sensibilisation. 

Politique de test necessaire 

La source la plus evidente pour identifier les changements est le resultat des 
tests. Il peut d’ailleurs etre interessant d'y chercher les changements que 1'on 
aurait pu decouvrir sans test, uniquement en ayant averti le responsable de la 
gestion des changements du PCA, ceci afin d'ameliorer la procedure de commu- 
nication a ce sujet. Il existe aussi des situations oh les tests font apparattre des 
besoins de changements autres que dans le PCA proprement dit - dans les com- 
portements, par exemple. 

fitant donnee son importance cruciale pour le maintien en etat operationnel du 
PCA, une politique de test est elle-aussi necessaire. Elle doit prevoir les types de 
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tests, leur frequence et leur ordonnancement dans le calendrier. Les aspects pra- 
tiques de mise en oeuvre des tests sont detailles dans le chapitre 6, et seuls les 
points de politique et d'organisation sont done presentes ici. 

Types de tests 

II est important de bien organiser les tests de maniere a optimiser le rapport 
entre test et resultats et k eviter de se retrouver dans des situations bloquantes. 

Exemple : Ou sont les bandes ? 

La societe DFD a realise sur le papier un PCA sommaire. Elle n'a aucune culture de test 
de PCA. Elle decide de realiser sur trois jours un test en simulation, avec reelle mise en 
oeuvre d'un ensemble de serveurs de secours sur un site distant chez un prestataire. 

Pour ce test ambitieux, la societe reserve un support grand systeme et Unix de haut 
niveau chez ledit prestataire. Ces specialistes couteux sont reserves pour trois jours fer- 
mes. 

Le premier jour, a HO, il faut aller chercher les cassettes de sauvegarde dans le lieu ou 
elles sont conservees. Petit cafouillage : qui doit y aller? Ou est-ce exactement? Apres 
deux heures de discussion (H+2), deux techniciens partent en voiture sur le fameux site 
de conservation des cartouches de bandes. Arrives sur place : probleme ! Personne ne 
veut les accepter. On n'entre en effet pas comme dans un moulin sur ce site securise, exer- 
cice de test ou pas ! Le compteur tourne... Au bout d'une heure et apres echanges de fax, 
ils peuvent enfin acceder aux lieux (H+3). 

Arrives enfin si pres du but, autre probleme : parmi toutes ces armoires, laquelle est la 
bonne ? Ou sont les cles ? Qui peut renseigner ? Et dans I'armoire : quelles sont les casset- 
tes a reprendre? Toutes? Cela ne tiendra jamais dans la voiture ! Quelques-unes ? 
Lesquelles? Nous sommes deja a H+4. Le probleme est enfin resolu a H+5, il ne reste 
plus qu'a trouver la route pour se rendre sur le site de secours, ce qui n'a pu se faire sans 
le telephone portable et les collegues... 

Pendant ce temps la, les experts systemes sont factures au prix fort, quasi a ne rien faire. 
Moralite : avant de se lancer dans un test de grande ampleur, verifions les listes, etablis- 
sons qui fait quoi, allons voir sur place comment cela se presente, notons les noms de 
ceux qui detiennent les informations... En bref, preferons d'abord des tests de type check- 
list ou walk-through. 

Il existe une certaine logique a respecter dans la demarche de test, qui doit etre 
progressive. Pour une societe peu entratnee en la matiere, il faut considerer les 
points suivants : 

• commencer par de petits tests bien cibles sur un probleme concret et un peri- 
metre restreint (voir 1'exemple precedent de la recherche des sauvegardes, 
que Ton peut tester k part) ; 

• organiser plusieurs petits tests de ce type assez rapproches (tous les mois) un 
peu partout dans la societe ; 

• augmenter progressivement ['importance des tests et le perimetre concerne ; 

• capitaliser a chaque fois en tirant des conclusions pedagogiques des tests et 
en modifiant les documents du PCA aux points necessaires ; 
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• utiliser eventuellement des cas reels vecus pour organiser une session de 
formation ; 

• prouver par l'exemple que tout ce processus est benefique : le meme test qui 
a pris quatre heures avec des difficultes sera refait le mois suivant en une 
heure, une fois les difficultes aplanies ; 

• eventuellement, faire des tests gigognes (le test 3 cumulant les tests 1 et 2), 
afin de montrer une progression. 

II est interessant de developper ces aspects et de les suivre au cours de l'annee 
par une communication aupres des comites de direction, des departements, etc. 

Frequence des tests 

II est courant de considerer que la frequence et l'ambition des tests sont inver- 
sement liees. Plus la frequence est elevee, moindre est l'ambition en termes de 
contenu, de perimetre et de cout. 

La sensibilite au besoin de test est variable selon les entreprises, les cultures et 
le caractere des equipes dirigeantes. Certaines societes organisent un test tres 
important tous les ans, un test moyen tous les six mois, et de petits tests de type 
check-list tous les mois. D'autres sont moins exigeantes et font des check-lists tous 
les six mois et des tests plus ambitieux tous les deux ans, voire plus. Il existe 
aussi une proportion non nulle de societes qui ne testent rien ou font juste son- 
ner les alarmes incendie. Ne rien tester revient a constater l'absence de PCA ou 
a programmer sa mort. En effet, aucun PCA non teste n'est viable a moyen 
terme. 

Par consequent, il est important de maintenir un climat, non pas de test, mais 
de preparation au sinistre. Cela passe notamment par la realisation de tests 
concernant un petit perimetre mais frequents. 

Les tests mensuels 

On peut organiser tous les mois des tests assez legers et peu perturbateurs per- 
mettant de verifier certains points precis, comme l'exactitude des listes ou 
l'actualite des divers documents. Le chapitre 6 presente cela en detail. 

Ces exercices de test, peu exigeants en ressources et peu couteux, ne mobilisent 
qu'une partie des groupes (voir le chapitre 4) et des specialistes impliques dans 
la continuite d'activite. 

Les tests trimestriels 

Chaque trimestre, on peut pratiquer des exercices un peu plus larges et plus 
complexes que les precedents, permettant de passer en revue certains points 
particuliers sur lesquels subsistent encore des doutes : deroulement des opera- 
tions du PCA suite a la decouverte du sinistre, communication en cas de sinistre, 
clauses des contrats de service, mise en place des groupes dont les membres ne 
se connaissent pas, activation du centre de crise, etc. 
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II est important d'impliquer dans ces tests le personnel qui serait implique en 
situation reelle, en faisant appel a des responsables hierarchiques operation- 
nels. 

Les tests semi-annuels 

Moins frequents, plus ambitieux et plus onereux, ces tests peuvent recourir a la 
simulation en la combinant avec les demarches de revue et de check-list des tests 
precedents. Ils permettent par exemple de verifier l'ensemble du PCA en simu- 
lant un sinistre sur un perimetre raisonnable, ou encore de simuler la dispari- 
tion de certaines activites critiques et leur reconstruction sur un site de secours 
dans les delais impartis. On peut, a ce stade, effectuer en simulation ou en 
parallele un ensemble de tests qui a ete auparavant correctement effectue en 
check-list ou walk-through ou, pour une thematique donnee, passer en revue le PCA 
complet pour detecter ce qui risque de bloquer (acces securises, autorisations 
de connexions, mots de passes, etc. pour la securite, par exemple). 

Ces tests ne pourront etre organises que si les tests moins ambitieux qui prece- 
dent ont ete menes a bien, suivis des actions correctives necessaries. Proceder 
ainsi permet en effet de decouvrir assez tot et de corriger par anticipation cer- 
tains points de blocage qui auraient fausse un exercice de plus grande ampleur. 

Le test annuel 

Prevu pour passer en revue l'ensemble du PCA en simulation ou en interruption 
partielle ou totale, ce test est le plus complet que Ton puisse pratiquer. 

Peu d’entreprises testent l'ensemble de leur PCA, depuis l’expression des 
besoins sur le site de secours jusqu'au retour sur le site primaire et au bilan. 11 
est evident que la faisabilite d'un tel test depend egalement beaucoup des 
moyens que la societe consacre a cette activity. En outre, 1’organisation de tests 
de cette ampleur implique souvent clients et fournisseurs et, dans certains cas, 
certaines societes alertent aussi la presse pour creer un evenement. 

Dans la meme optique, il est egalement interessant de faire participer l’entre- 
prise a des tests organises par les autorites ou autres acteurs simulant par 
exemple un accident nucleaire ou une explosion d’usine grandeur nature. 

Vue d‘ ensemble des tests 

La diversity des tests est telle que cela necessite un minimum de ligne direc- 
trice, afin de mettre en evidence leur interet. Les apports reels en termes de for- 
mation et d’amelioration du PCA doivent §tre soulignes. La publication d'un 
document pluriannuel annongant les tests par l’entite responsable du PCA 
prend alors tout son sens, oeuvrant a la bonne comprehension de la politique de 
continuity de l'entreprise. 

Ce document permet en effet de presenter une situation en evolution, en partant 
de tests simples et reguliers pour aboutir a des tests annuels plus complexes. 
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Prise en compte des conclusions d'audits 

Afin d’evaluer la mise en oeuvre de la politique de continuite de l'entreprise, la 
realisation d’audits est indispensable. Des details sur ce sujet sont donnes dans 
le chapitre 13. Les audits produisent des resultats dont il taut absolument tenir 
compte, car ceux-ci vont avoir un impact non negligeable sur le PCA. 

L'audit permet en effet de constater plusieurs types d'anomalies : 

• des ecarts entre la politique de l'entreprise et la realite ; 

• des differences entre ce qui est ecrit dans le PCA et la realite du terrain ; 

• des risques non couverts. 

Ces constatations vont entratner des modifications dans le PCA, permettant 
d'assurer sa bonne maintenance. 

En outre, l'apparition imminente de normes internationales dans le domaine de 
la continuite d'activite va permettre de donner aux audits le role essentiel de 
faire apparaftre certains besoins de mise en conformite, eux-aussi sources de 
modifications du plan (voir en annexe 1). 

Changements dans l'entreprise, resultats des tests, conclusions d'audits - tous 
ces aspects devront etre pris en compte pour modifier le plan de continuite en 
vue de le maintenir d’actualite et de l'ameliorer. 

Cestion des changements du plan 

Au cours des differentes procedures decrites precedemment (veille des change- 
ments, tests, audits), l’ensemble des besoins de modifications dans le plan de 
continuite est ainsi collecte. Ces besoins vont se traduire en demande de chan- 
gements. 

On entre alors dans un processus classique de gestion des changements, por- 
tant sur un ensemble de prescriptions et de documents. Les principales etapes 
en sont : 

1. collecter et classer les differentes demandes de changements en fonction 
des chapitres du plan sur lesquels elles portent ; 

2. faire analyser et valider ces demandes par les differents responsables concer- 
nes, a savoir les personnes en charge des sections correspondantes du plan 
de continuite, certains responsables d’activites ou des chefs de groupes (voir 
le chapitre 4) ; 

3. attribuer les modifications aux entites concernees et les faire realiser en 
mode « brouillon » ; 

4. verifier l'ensemble des modifications effectuees en « brouillon » pour y 
detecter d’4ventuelles incoherences ou des difficultes de mise en oeuvre ; 

5. apres d'eventuelles corrections, faire un dernier tour de revision pour obtenir 
les approbations de tous les responsables concernes ; 

6. integrer les modifications definitives dans le plan de continuite en respec- 
tant la gestion de version et les regies de mise k jour en place - cela peut se 
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faire sur un systeme documentaire centralise ou sur des copies decentrali- 
sees qui seront mises a jour chacune par leurs responsables en suivant une 
procedure coordonnee ; 

7. avertir les operationnels des changements du plan. 

Cas particulier : Mise a jour des listes 

Parmi les defauts detectes dans le plan et necessitant une modification, on retrouve sou- 
vent le probleme des listes de materiel, de personnel, etc., qui devraient rendre compte 
des mouvements de machines et de personnels, mais qui, de fait, ne sont souvent pas 
tenues a jour. 

Pour ce type de modifications, plutot que d'employer la procedure de gestion des change- 
ments decrite ici, il convient d'adopter une gestion particuliere de type « gestion de 
configuration » plus proche du terrain. Ces listes devront done etre mises a jour reguliere- 
ment, au fur et a mesure des evolutions. II est important d'accorder le plus grand soin a 
ce processus. 



Chapitre 13 


Le system e 
de controle 


Pour toute orientation emanant de la direction generale, il convient de s'assurer que 
la realite du terrain s’y conforme : c’est alors qu’intervient le controle. Toute politique 
s’accompagne d'une verification de son execution, et done d'un systeme de controle. 
En ce qui concerne le PCA, la pratique est encore nouvelle pour bien des entre- 
prises. Neanmoins, des demarches fondees sur les referentiels et les bonnes 
pratiques qu'ils presentent se mettent peu a peu en place. 


ObjectiFs 


La demarche de controle de la continuite d'activite permet d'apporter des 
reponses aux deux questions suivantes : 

• la volonte de la direction generale est-elle bien traduite sur le terrain ? 

• par quels moyens la direction generale peut-elle faire passer les inflexions de 
sa politique dans les faits ? 

Definir une structure de reference 

La premiere chose a faire est de definir un cadre de travail qui va servir de refe- 
rence indiscutee. Cela peut etre une norme, un ensemble de pratiques jugees 
bonnes, un referentiel metier, etc. 

Dans le domaine de la continuite d’activite, les referentiels existants proviennent 
actuellement plutot du monde anglo-saxon. Ce sont des normes comme celles du 
Disaster Recovery Institute (USA) ou du British Standard Institute (Royaume Uni). L'AFNOR 
a elle aussi entame des travaux sur ce sujet. L'annexe 1 fait le point sur ces normes. 
Rien n'empeche cependant une societe de se construire son propre referentiel, 
meme s’il existe de bonnes raisons prechant en faveur d’un referentiel externe. 

• Cela permet de couper court a toute discussion, en invoquant 1’argument 
suivant : « nous suivons la reference du marche ». 

• Cela facilite les comparaisons entre plusieurs societes. 


em 
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• En contexte international ou dans le cadre d’un groupe de societes de cultu- 
res diverses, cela permet d'avoir une approche neutre. 

• Lors de fusions d'entreprises, cela facilite 1’unification. 

Par decision de la direction generale, la societe doit done se construire ou, de 
preference, se choisir un referentiel et le conserver. 

Ce referentiel est generalement structure en grands chapitres, comme le montre 
l’exemple de structure suivante : 

Referentiel de continuite d'activite N° 1 

1. MaTtrise des risques 

2. Analyse d'impact sur les activites 

3. Strategie de continuite 

4. Plan de continuite 

5. Test du plan 

6. Gouvernance de la continuite 


Voici un autre exemple : 

Referentiel de continuite d'activite N° 2 

1. Connaissance des risques etdes impacts 

2. Strategie de continuite 

3. Affectation des responsabilites 

4. Definition du planning 

5. Test du plan 


II apparaft dans ces exemples que la structure choisie, en cinq a sept points, 
decline toutes les actions necessaires pour pretendre avoir une veritable mise 
en oeuvre de la continuite en entreprise. 

Determiner les objectifs 

La direction generale determine alors, dans le cadre choisi, les objectifs qu'elle 
veut atteindre, sous la forme d'instructions. Ces instructions detaillent les titres 
de chapitre du referentiel choisi. 

Les encadres qui suivent donnent des exemples. 

Pour la maitrise du risque : 

Objectifs 

1. Documenter le cadrage de la demarche 

2. Identifier les menaces et les risques 

3. Faire la liste des biens exposes 

4. Analyser les options possibles 

5. Faire une preconisation documentee 
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Pour l’analyse d'impact sur les activites : 

Objectifs 

1 . Documenter le cadrage de la demarche 

2. Analyser les processus d'activite 

3. Determiner les configurations concernees 

4. Determiner les processus critiques et leurs parametres 

5. Elaborer une strategie documentee 


Pour le plan de continuity : 

Objectifs 

1. Documenter le cadrage de la demarche 

2. Definircequ'estunsinistre 

3. Preciser les perimetres 

4. Definir les groupes et leurs responsabilites 

5. Mettre en place un centre de gestion de crise 

6. Etablir un planning repartissant les activites en differentes etapes 

7. Etablir un plan de communication 

8. Etablir un plan d'affectation 

9. Mettre en place un systeme de documentation 


Pour les tests du plan : 

Objectifs 

1 . Documenter le cadrage de la demarche 

2. Expliquer les objectifs des campagnes de tests 

3. Decrire les types de tests prevus et leurs impacts 

4. Preconiser des moyens pour les tests 

5. Formaliser le suivi des tests 

6. Documenter les conclusions 


Comme on le voit sur ces exemples, ces objectifs sont tout a la fois suffisamment 
generaux pour etre universels dans leur application et suffisamment precis pour 
orienter l'entreprise dans une direction choisie. Tres importants pour l'entreprise, 
ils sont valables a long terme (au moins trois ans) et s'appliquent a toutes les 
variantes organisationnelles ou geographiques que l'entreprise connaTt. 

Dediner les objectifs 

Les chapitres du referentiel choisi ont bte, dans un premier temps, detailles en 
objectifs a atteindre. Dans un second temps, ces objectifs sont declines pour 
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tenir compte des specificites locales et detailles plus finement pour etre plus 
precis. 

Il existe plusieurs manieres de proceder. Le plus souvent, il est interessant de 
traduire l'objectif en quelques questions (entre trois et sept) qui pourront etre 
posees a la direction locale, ou sur lesquels un auditeur pourra s'appuyer pour 
son evaluation. 

Voici deux exemples : 


Chapitre N° 1 « MaTtrise du risque » 

Objectif N° 2 « Identifier les menaces et les risques » 

Ql. Les criteres de selection sont-ils precises ? 

Q2. Les decoupages realises sont-ils approuves ? 

Q3. Les responsables d’entite concernes sont-ils impliques ? 
Q4. Les exclusions eventuelles sont-elles mentionnees ? 

Q5. Les techniques d'analyse sont-elles decrites ? 

Q6. Les sources d'information sont-elles citees ? 


Chapitre N° 3 « Strategie de continuite » 

Objectif N° 1 « Identifier les besoins de reprise » 

Ql. Dispose-t-on d’un rappel des analyses precedentes ? 

Q2. Les exigences des processus critiques sont-elles exprimees ? 
Q3. La liste des besoins de reprise est-elle fournie ? 

Q4. Les besoins sont-ils segmentes par nature ? 

Q5. Les besoins communs sont-ils identifies ? 


On obtient ainsi une vingtaine de questions par chapitre, c’est-a-dire cent vingt 
a cent cinquante questions pour l'ensemble de la politique de continuite. La for- 
mulation de ces questions est parfois delicate. En effet, la reponse ne doit pas 
laisser une grande marge a ['interpretation mais pouvoir, au contraire, s'appuyer 
sur des faits constatables. Certaines societds de conseil peuvent fournir une 
assistance appreciable sur ce sujet assez delicat. 

Evaluer le plan 


A partir de ces questions, il va enfin etre possible d'obtenir des reponses. Il 
existe plusieurs manieres de proceder : 

• confier les questionnaires aux responsables des entites concernees et leur 
demander de repondre - c'est ce qu'on appelle « l'auto-evaluation » ; 
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• demander a un observateur interne a l'entreprise (auditeur interne) de se for- 
ger une opinion et de remplir les questionnaires ; 

• faire appel a un evaluateur externe a l’entreprise ; 

• employer les trois methodes precedentes k la fois. 

devaluation proprement dite peut elle aussi prendre plusieurs formes : 

• une reponse binaire : « oui » ou « non » ; 

• une echelle de graduation telle que : « pas d’accord », « moyennement 
d'accord », « plutot d'accord » ou « tout a fait d’accord » ; 

• une note de 0 (mauvais) a 5 (excellent). 

II est interessant de faire evaluer les memes points par des personnes differen- 
tes et de constater les ecarts eventuels. 

Les reponses collectees permettent de produire differents schemas au pouvoir 
explicatif variable. Certaines societes de conseil foumissent des grilles d'analyse 
et des modeles tres explicites. 



Figure 13-1 : Evaluation d'une entreprise sur des criteres multiples 


Tirer les conclusions 


Grace a cette analyse, la direction generale dispose d’une photographie de 
l'existant. La plupart du temps, lorsque cette image emane des responsables 
operationnels eux-memes, cet etat des lieux est tres interessant. 11 permet en 
effet de determiner les points forts et les points faibles de l'entreprise selon le 
point de vue des operationnels. 

La direction generale, de son cote, peut souhaiter que l'entreprise obtienne au 
moins une note palier sur certains domaines. Elle peut fixer une note cible k 
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atteindre, modulee selon les tetes de chapitre de sa strategie. Cela peut s'expri- 
mer sur le schema suivant : 



Figure 13-2 : Les objectifs par rapport a /'evaluation 


La comparaison entre les souhaits exprimes par la direction generate et ce qui 
ressort des reponses aux questionnaires permet de faire apparaftre les points ou 
les themes pour lesquels des ameliorations sont necessaires. La encore, l’appel 
a une societe de conseil peut apporter une aide precieuse . 

Recommencer 


L'ensemble de ces operations doit etre effectue a nouveau regulierement, par 
exemple tous les ans. Recommencer l’exercice permet en effet de : 

• constater et mesurer les progres ; 

• eviter de s'endormir sur ses lauriers ; 

• modifier eventuellement les orientations, les instructions, les questions. . . ; 

• faire varier les niveaux d'exigence demandes ; 

• modifier le perimetre de l'exercice. 

II est egalement possible d'y ajouter des orientations sortant un peu du cadre de 
la continuite d’activite, en matiere de securite ou de qualite par exemple. Mais 
cela sort du cadre de cet ouvrage. 


Annexe 1 


Normes et bonnes 
pratiques 


Aucune norme internationale ne s'est encore imposee de maniere indiscutable 
dans le domaine de la continuite d'activite. Certains referentiels presentent 
cependant des demarches interessantes. 

Par ailleurs, certaines normes traitant d'autres thematiques connexes (la secu- 
rity, par exemple) incluent un chapitre ou un paragraphe concernant la conti- 
nuity, et nombre de travaux sur ce theme sont realises actuellement au sein des 
divers organismes de normalisation. 


Les normes internationales 


Les normes concernant la continuite d'activite sont essentiellement d'origine 
americaine ou britannique. Elies consistent generalement a decrire les 
« meilleures pratiques » (best practices, en anglais) issues de l'experience des pro- 
fessionnels du sujet aborde. 

Normes de type « bonnes pratiques » 

Le terme « norme » peut en soi preter a confusion. 11 ne s'agit en effet pas ici de 
normes industrielles donnant precisement les cotes d'une piece a respecter 
absolument, mais plutot de lignes de conduite. Ces normes sont des ensembles 
de recommandations emises sur des manieres de faire par une association de 
professionnels cooptes. Ces associations, qui participent egalement a differents 
degres aux travaux de normalisation dans leur pays et a 1’ISO (Organisation 
internationale de normalisation), se donnent en general trois objectifs : 

1 . partager et accumuler les experiences pour decrire par ecrit ce qui fonctionne 
le mieux sous forme d’un corpus de bonnes pratiques ; 

2. former des professionnels a ces bonnes pratiques et decerner des certificats 
ou des attestations de formation gradues par niveaux ; 

3. faire la promotion de ces professionnels certifies en assurant ainsi une sen- 
sibilisation du marche aux enjeux de la continuite. 
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Parmi ces associations se consacrant a la continuite d’activite, deux organismes 
se distinguent : 

• Le DRII (Disaster Recovery Institute International ou « organisation internationale 
pour la reprise apres sinistre »), pionnier d’origine americaine, est tres actif 
depuis 1988. 

• Le BCI ( Business Continuity Institute ou « organisme pour la continuite 
d'activite »), cree en 1994 et d’origine britannique, est un contributeur impor- 
tant aupres de l'organisme de normalisation britannique, le BSI (British Stan- 
dard Institute), et de l'organisation internationale de normalisation ISO. 

La base de connaissance du DRII 

En 1997, le DRI International a publie une base de connaissances collectees et 
formalisees par ses soins en matiere de continuite. Son ambition est de presen- 
ter en dix points ce que tout responsable de la continuite doit maitriser. Ces dix 
points sont ; 

1 . le demarrage et la gestion du projet de continuite ; 

2. 1’evaluation et la maftrise du risque ; 

3. l'analyse d'impact sur les activites ; 

4. le developpement d'une strategic de continuite ; 

5. les interventions d'urgence ; 

6. la mise en place d’un plan de continuite ; 

7. les programmes de sensibilisation et de formation ; 

8. la maintenance et les tests du plan de continuite ; 

9. la communication de crise ; 

10. la coordination avec les autorites. 

Cette somme est internationalement reconnue. 

La norme BS 25999 

Le British Standard Intitute (BSI), entite de normalisation britannique (equivalent 
de 1'AFNOR en France), a emis recemment une norme sur le sujet de la 
continuite : la BS 25999. Cette norme britannique est a l'heure actuelle la plus 
avancee sur le theme de la continuite d’activite et merite toutes les attentions, 
pour plusieurs raisons. 

• Elle concentre en son sein tout un ensemble de travaux et d'experiences pra- 
tiques de premiere importance. 

• Son rayonnement va bien au-dela du Royaume-Uni : son influence se fait 
sentir dans une cinquantaine de pays. 

• L'ISO a jusqu’a present repris bon nombre de normes de type « bonnes 
pratiques » du BSI pour en faire des normes ISO, sans quasiment les modifier. 
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BS 25999-1 et BS 25999-2 

Comme pour les autres normes recentes du BSI de type « bonnes pratiques », la 
norme BS 25999 est scindee en deux parties : 

• la BS 25999-1 est le code de bonnes pratiques en tant que tel concernant la 
mise en oeuvre de la continuite dans l'entreprise ; 

• la BS 25999-2 (a venir) donne des recommandations necessaires a ces reali- 
sations et a la preparation aux audits. 

Les six points de la BS 25999-1 

La norme britannique BS25999-1 preconise une demarche en six points : 

1 Comprendre (’organisation de l’entreprise - 11 s'agit tout autant de connaT- 
tre les risques auxquels l’entreprise est exposee que ses activites critiques. 
Cela correspond assez bien aux chapitres 1 et 2 du present ouvrage. 

2. Determiner les options de continuite - Cela consiste d choisir, parmi les 
differentes options possibles, ce que l'entreprise fera en cas de sinistre et a 
lister les besoins en termes d'equipements, de sites, de secours, de compe- 
tences. . . Cela correspond peu ou prou au chapitre 3 du present ouvrage. 

3. Developper et mettre en oeuvre une reponse - II s’agit ici de developper le 
plan de continuite et d’attribuer les roles et responsabilites. Cela correspond 
aux chapitres 4 et 5 du present ouvrage. 

4. Introduire la continuite d’activite dans la culture de l’entreprise - Ce 

point consiste a organiser des formations, a sensibiliser les employes et a 
decrire les aspects touchant a la continuite au sein des postes de travail. 

5. Tester, maintenir et auditer - 11 s'agit ici de tout ce qui concerne les tests, 
exercices, maintenances et audits, correspondant aux chapitres 6, 12, et 13 
de cet ouvrage. 

6. Piloter le programme de continuite d’activite - On aborde ici la gestion de 
l'ensemble des actions decrites precedemment et la responsabilite de la 
continuite (voir les chapitres 1 1 et 13). 

Les cinq premiers points se succedent, telles les phases d'un projet. Le dernier 
point doit etre une preoccupation permanente de l’equipe en charge de la conti- 
nuite. 

Travaux de I'lSO 

Actuellement, ['Organisation internationale de normalisation (ISO - International 
Organization for Standardization ) ne semble pas considerer la continuite d’activite 
comme un theme a part, mais plutot comme une preoccupation commune a 
plusieurs themes et eclatee sous diverses rubriques. On peut citer en particulier 
les normes consacrees a la securite de l’information de la famille ISO 27000 et 
les guides de preparation aux sinistres. 
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Cette approche semble en effet poser probleme au sein de 1’ISO, car lors de cha- 
que approfondissement des themes de la continuite d'activite, des difficultes de 
redaction surgissent. 

La norme securite ISO 27002 

Cette norme presente une sbrie de preconisations concretes pour assurer la 
securite de [’information. Elle compte neuf chapitres traitant des differents 
domaines concernes par la securite. 

Le chapitre 14 de la norme ISO 27002 traite de la « gestion du plan de continuite 
de i’activite » sur deux pages environs. Autant dire que le probleme n’est aborde 
que de tres haut et uniquement a travers les aspects informatiques. 

L'ISO est en train de refondre les normes de cette famille 27000 et un numero a 
ete reserve pour les aspects « continuite d'activite » du systeme d’information et 
des telecommunications : l'ISO 27031. A l'heure actuelle, les travaux sur cette 
portion de norme semblent hesitants, faisant sentir l'influence de la montee en 
puissance des normes purement consacrees a la continuite. A quoi bon, en effet, 
traiter de continuite dans une norme sur la securite alors que, par ailieurs, des 
organismes comme la BSI etudient la continuite en tant que telle ? 

La specification ISO/PAS 22399 

Un exemple supplementaire de la situation actuelle a l’ISO et de l’eclatement 
des approches de la continuite apparaft avec la « specification disponible 
publiquement » ou PAS (Publicly Available Specification ) ISO/PAS 22399:2007, qui 
aborde la Securite societale - Lignes directrices pour etre prepare a un incident et gestion de 
continuite operationnelle. 

Cette PAS s'appuie, quant a elle, sur des contributions de type « bonnes 
pratiques » emanant des cinq organismes de normalisation nationaux d'Austra- 
lie, d’Israel, du Japon, du Royaume-Uni et des Etats-Unis. Son influence sur les 
travaux en entreprise est faible. 

La situation en France 


En France, trois organismes montrent un interet particulier pour la continuite 
d'activite : il s'agit de 1'AFNOR, du Club de la Continuite d’Activite et du forum 
tripartite (ou joint Forum). 

Travaux de I'AFNOR 

L'AFNOR a publie une norme BP Z74-700 dans la categorie des bonnes prati- 
ques. Celle-ci se consacre cependant essentiellement aux activites de reprise 
apres sinistre (correspondant aux chapitres 4 et 5 de cet ouvrage). 

La norme AFNOR est tournee vers les problemes de perte d’ exploitation, de plan 
de reprise d'activite (PRA) et aborde peu la maitrise des risques. 
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L'AFNOR travaille aussi a un glossaire. 

Le Club de la Continuity dActivite (CCA) 

Cree en 2007 en France, ce club a pour ambition de faciliter et promouvoir le par- 
tage d’experience entre ses membres. 11 a lance des groupes de travail sur des 
sujets aussi divers que la pandemie grippale, les contraintes reglementaires et 
les « concepts et vocabulaire » de la continuity en frangais. 

Ce club gere aussi un wiki de travail accessible au grand public. 

Le forum tripartite ou Joint Forum 

En collaboration avec la Banque de France et diverses institutions, un document 
intitule P rincipes directeurs en matiere de continuite d'activite a ete publie en 2006. Ce 
document preconise un certain nombre de principes dont cet ouvrage d’ailleurs 
se fait le reflet. 

On consultera le site web indique en Annexe 2 pour plus de details. 


Les approches connexes 


Des organismes autres que ceux de normalisation realisent eux aussi des docu- 
ments de preconisations ou de bonnes pratiques. Certains d' entre eux agissent 
dans un perimetre qui recoupe en partie la continuite d'activitb. En voici quel- 
ques-uns qui meritent l'attention. 

ITIL 

L'lTIL est un ensemble de pratiques et de recommandations permettant de gerer 
la production informatique de services. Dans sa version 2, ce referentiel est 
constitue de dix livres. L'un de ceux-ci, intitule F ourniture des services, comprend 
cinq processus, dont un denomme G estion de la continuite de service. 

La continuite du service est ainsi traitee comme un theme parmi plusieurs dizai- 
nes d'autres. L'apparition de la version 3 de 1'ITIL, encore plus ambitieuse et 
plus riche, n’a fait que diluer encore la preoccupation de « continuite 
d’activite ». En realite, la pratique de 1'ITIL dans les societes qui le mettent en 
application a generalement fait peu de cas de ce processus en particulier. 

En revanche, il est important de souligner qu’une bonne mise en oeuvre a la fagon 
ITIL de la gestion des configurations, des changements, des incidents et des 
problemes concourt assurement a une continuite d'activite efficace. 

Mehari 

Le Clusif (Club de la securite de l’information frangais) a developpe ces dernie- 
res annees une approche originale devaluation des risques lies a la securite de 
l'information. Mehari fournit gratuitement (sous licence publique) un ensemble 
structure de methodes, d'outils et des bases de connaissance pour : 
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• analyser les enjeux majeurs de l'entreprise en matiere de securite, en etu- 
diant les dysfonctionnements principaux et leur gravite ; 

• etudier les vulnerabilites, c'est-a-dire identifier les faiblesses et les defauts 
des mesures de securite ; 

• reduire la gravite des risques en travaillant en parallele sur les causes et les 
consequences ; 

• piloter la securite de 1’information, avec des objectifs, des indicateurs et des 
plans d'actions. 

Cette approche frangaise est dotee de divers outils et tableaux disponibles en 
licence fibre. Bien que restant cantonnee aux risques encourus par le systeme 
d' information, elle propose malgre tout un tour d'horizon interessant. 

NFPA 1600 

L’association de protection contre l'incendie NFPA (National Fire Protection Associa- 
tion) a etb creee en 1896 aux Etats-Unis. Sa mission est de reflechir et preconiser 
des approches techniquement fondees pour reduire les problemes dus au feu et 
autres risques. 

En janvier 2000, la NFPA a publie la norme NFPA 1600 proposant un ensemble 
commun de criteres pour gerer les catastrophes, les situations de secours et les 
programmes de continuite. C’est une norme americaine ANSI ( American National 
Standards Institution ). NFPA 1600 presente un nombre important de documents 
listant des bonnes pratiques dans des domaines aussi varies que la politique de 
continuite, les divers comites de programme, la maniere d’identifier et de clas- 
ser les risques et les menaces, la planification des actions, la coordination, la 
communication, la logistique, la formation, l’education du public, etc. 


Sources 

d’inFormation 


Dans une demarche de mise en place du plan de continuity, il est utile de dispo- 
ser d' informations neutres, sures et a jour. 

Voici quelques organismes susceptibles d’en fournir. 

Organismes francophones 

• AFNOR (Association frangaise de normalisation) - www.afnor.org 

• Club de la Continuity d' Activity (CCA) - www.clubpca.eu 

• Clusif (Club de la Security de l'Information Frangais) - www.clusif.asso.fr 

• Forum tripartite avec la Banque de France - www.banque-france.fr 

• Haut Comite Frangais pour la Defense Civile (HCFDC) - www.hcfdc.org 

• Institut National de i'Environnement Industriel et des Risques INERIS) 
-www.ineris.fr 

• Institut d'Etudes et de Recherche pour la Security des Entreprises (IERSE) 
-www.ierse.fr 

• Institut National des Hautes Etudes de Security -www.inhes.interieur.gouv.fr 

• Ministere de l'Ecologie - www.ecologie.gouv.fr et www.vigicrues.ecologie.gouv.fr 

Organismes anglophones 

• Business Continuity Planners Association (BCPA) -www.bcpa.org 

• Disaster Recovery Institute International (DRII) -www.drii.org 

• Business Continuity Institute (BCI) - www.thebci.org 

• British Standard Institute (BSI) - www.bsi-global.com 

• Business Continuity Management Information exchange (BCMIX) 
- http://BCMIX.collectivex.com 

• Association of Insurance and Risk Managers - www.airmic.com 

• United Nations Environment Programme (UNEP) www.unep.org 

• Incident.com - www.incident.com 

• ISO (International Organization for Standardization) - www.iso.org 
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• National Fire Protection Agency (NSPA) - www.nfpa.org 

• Uptime Institute - http://uptimeinstitute.org 

• Telecommunications Industry Association (TIA) - www.tiaonline.org 
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A qui s’adresse ce livre ? 

• Aux responsables risque ou continui- 
te (RSSI, RPCA...) et a leurs equipes 

• Aux chefs de projet charges de 
mettre en place un PCA 

• Aux DG et chefs d’entreprise 
souhaitant aborder le MCA 

• A tous les responsables metier 
preoccupes par la continuite de 
leur activite 

• Aux DSI et responsables techniques 
ayant a faire des choix de systemes 

• Aux auditeurs dans le domaine 
des technologies de [’information 

• Aux professionnels de la securite 
ou d’lTIL desirant approfondir le 
volet continuite 


Au sommaire 

Maitrise du risque. Appreciation des menaces. Analyse d’im- 
pact (BIA). Activites critiques. Parametres de reprise (RPO, RTO, 
MTD et WRT). Strategie de continuite. Plan de continuite 
d’activite (PCA). Disaster Recovery Plan (DRP). Plan de reprise 
(PRA). Missions et groupes d’intervention. Centre de gestion de 
crise. Planning. Plan de communication. Campagnes de tests. 
Fiches de tests. Ingenierie de la continuite. Disponibilite. 
Fiabilite et reparabilite. Redondance. Modeles de cluster n+1. 
Snapshot et copie miroir. Serveurs a tolerance de panne. 
Virtualisation. Stockage NAS et SAN. Controleurs, cache et 
routage d’E/S. Protection continue des donnees (CDP). 
Sauvegarde et restauration. Robots et bandotheques. Reseau 
backbone et LAN. Centre informatique (site, infrastructure, 
risques et parades). Telecommunications. Poste de travail (PC). 
Travail a domicile. Gouvernance de la continuite. Politique de 
continuite. Comite de pilotage. Projet du PCA. Maintenance. 
Gestion des changements. Evaluation, tests et audits. Systeme 
de controle. Formation et sensibilisation. Normes et bonnes 
pratiques. Tiers du Uptime Institute. TIA 942. BS 25999. 
ISO 27002, ISO 27031 et ISO/PAS 22399. AFNOR BP Z74-700. 
Business Continuity Institute (BCI). DRII. Club de la Continuite 
d’ Activite (CCA). Joint Forum. ITIL. Mehari. NFPA 1600. 


